Claude 也要做 KYC，也要做实名认证了。中国程序员们的天塌了吗？

大家先别急着骂 Anthropic 反蒸馏。你以为他这次真正想打击的是蒸馏他模型的人吗？其实未必。真正先被打击的，可能是另外一类人。

一个健身房的比喻：Anthropic 真正在防谁？

设想一个场景：有一家健身房。

• 第一种人想自己开健身房，于是进来偷师，报了所有课程，跟健身教练学完以后，回去自己开健身房。
• 第二种人办了健身卡进来，把所有羊毛都薅干净。我这个健身卡是一年的，我就天天来；我来不了的时候，还找别人替我来，一定要把所有能用的都用完。
• 第三种人是花了钱办健身卡以后，再也不来了。

那你说，健身房最喜欢哪种用户？肯定喜欢第三种。你交了钱，再也不来了。

第一种人防得住吗？其实防不住。这一次真正去防的，是中间这种：办了健身卡，就一定要把所有便宜都占干净，自己来不了还要让别人替自己来。要干掉的是这帮人。

所以大家想明白了没有？他并不是惦记着去搞那些蒸馏的人。第一拨人，就是跟着健身教练学，学完以后回去自己开健身房的人，这才是蒸馏的人。这些人你防不住。为什么防不住，待会再讲。

这一次 Anthropic 干的事情，其实就是健身房升级了门禁系统，保证你必须是同一个人来，保证不会有人用一张健身卡多人进入，要把这种用量打下来，尽量让“花了钱不来的人”多一些。这才是真正的意图。

至于反蒸馏，跟这次有关系，但关系真不大。它最大的关系，可能就是这次行动的一个借口，其他其实没什么意义。

为什么这件事会炸锅？

这个事情出来以后为什么炸锅了？因为现在 Claude 开始出现身份验证弹窗了。有些人确实已经弹了，要求提交政府证件，也就是护照、身份证这些东西，还要进行实时自拍，做人脸和证件核验。

社区里的第一反应就是：完了，Claude 也要做实名制了，中国程序员以后别用了。

一般讲 KYC，通常是在币圈里讲，叫 Know Your Customer，也就是平台核实用户真实身份的一套风险控制机制。

在 Claude 里，中国开发者一定占极大比例。因为本身中国开发者就多，而且中国开发者又愿意去用最好的模型。虽然国内也有些模型能用，但我见过很多开发者都跟我说，你自己的时间是有价值的，一定要买最贵的。因为模型的差价，对于模型质量来说，基本可以忽略不计。所以一定要用 Claude。

前几周我跟姜变做节目时，他的“龙虾”挂的就是 Claude Opus 4.6，买的是 200 美金套餐。他给我的解释就是：我一定要买最好的。

现在在 Claude 里，用量最高的一些人，实际上很多都是中国人。第一个人好像叫刘小排，也是我以前猎豹移动的一个同事。这些都是能登上全球榜榜首的人。那自然就一定要“收拾”你们，因为这是一帮特别喜欢薅羊毛、用量特别高的人。这样的用户，健身房不欢迎，Anthropic 也不欢迎。

时间线：Anthropic 如何一步步收紧

Anthropic 在 2025 年 9 月就开始收紧中国 API 的访问了。

2026 年 2 月，Anthropic、OpenAI、谷歌三家公司同时指控中国实验室蒸馏。

2026 年 4 月 14 日，官方帮助中心更新了 KYC 说明；4 月 15 日起，用户将陆续收到弹窗。

更残酷的现实是，这个闸机很可能根本不认你的证件。因为他们找的第三方 KYC 机构，压根就不承认中国护照这些东西。你上去说我想验证，根本没人理你。

先把事实厘清：分三层来看

我们先把事实厘清，分三层来看：第一层是官方说法，第二层是事实认证，第三层是我的观点。

第一层：官方说法

先说官方说法。2026 年 4 月 14 日，Anthropic 官方帮助中心更新了一个名为 identity verification on Claude 的文件。

官方原文的措辞是：a few user use cases，也就是很少数的使用场景，不是全员强制。所以这是一种抽查，但具体抽到谁、没抽到谁，不会公布规则。

触发条件包括：

• 访问某些高级能力，比如让它做破解、做一些危险的事情，或者一些色情相关内容，都可能被视为“高级能力”；
• 例行的平台完整性检查，比如系统发现你的 IP 地址不对，或者一些跳转存在问题；
• 其他安全与合规措施，描述得比较宽泛，具体怎么筛选谁来拍照片，并不会说得很清楚。

现在它要求你的证件、账号、IP 地址必须“三码合一”。你说我提供一个泰国证件，那你的 IP 也得是泰国的，账号申请地区也得是泰国，不能中间有叉，一旦有叉就可能被干掉。

API 用户方面，官方明确说明当前不在本轮影响范围内。也就是说，你开账号以后在里面用 API，这一轮没影响。因为 API 本身相对更贵，Claude 也贵。

这也是为什么我说，这次主要处罚的是薅羊毛的人，而不是那些上你这来学课程、回去准备自己开健身房的人。因为那帮人是 API 客户，这次跟他们没关系。至于以后会不会再收拾，不好说。

第二层：已经确认的事实

已经确认的事实是什么？

1. Anthropic 帮助中心页面确实在 2026 年 4 月 14 日更新了 KYC 说明。
2. 部分用户已经从 4 月 15 日开始收到 KYC 验证弹窗。
3. Anthropic 同期更新了 unsupported regions 销售限制说明，明确点名中国，告诉你中国是不支持的区域。
4. 2026 年 2 月，Anthropic 指控 DeepSeek、Moonshot AI，也就是月之暗面，还有 MiniMax，创建了 24,000 个虚拟账号，通过 1,600 万次 API 调用蒸馏 Claude。
5. Anthropic 在 2025 年下半年封禁了 145 万个账号，力度非常猛。你可以申诉，但成功率只有 3.3%。所以封了以后，很多时候还不如再开一个，别费那个劲。
6. 这次使用的是第三方 KYC 服务商，这也是 Anthropic 官方确认的。也就是说，你的姓名、护照照片、人脸这些信息，不会直接传到 Anthropic，而是交给一个第三方服务商处理。这个服务商叫 Persona，由它来做第三方认证。

问题在于，Persona 对中国大陆证件基本不支持。绝大部分中国大陆用户，没法通过验证。

更麻烦的是，Persona 在 2026 年 2 月因为服务器配置错误，暴露了 2,456 个文件，包括证件照片、生物特征和 IP 等信息。Discord 也因此终止了和它的合作。也就是说，这家公司本身的安全性也没那么让人放心。

另外，2026 年 4 月 16 日，OpenRouter 等代理渠道也出现了中国用户受限现象。什么意思？就是原来中国用户用中国信用卡充 OpenRouter，也可以用 Claude 模型；以后如果你是用中国信用卡充值的 OpenRouter，就不允许再使用 Claude 模型了。但这一块没有任何官方公告，就是直接给你封掉了，这也很奇葩。

第三层：我的判断

我的判断是，很多人把这件事理解为反蒸馏，这个说法只对了一半。反蒸馏是这次事件的借口，不是核心诉求。这次 KYC 的核心诉求是反薅羊毛。

Anthropic 喜欢什么用户，讨厌什么用户？

从用户画像来看，Anthropic 最喜欢什么用户？稳定付费、低投诉、低风控、正常使用、不把额度打满。比如我交了 20 美金也好，交了 200 美金也好，我就老老实实用，用量还很少。就像去健身房交了会费以后再也不去了，这是 Anthropic 最喜欢的。

Anthropic 最讨厌的用户是什么？高消耗、跨区访问、账号关系复杂、支付链路异常，可能共享、分销、转售，或者通过第三方工具批量接入。这些才是它真正想处理的对象。

蒸馏用户画像和羊毛党画像确实有重叠，但差异也很大。尤其是官方专门说了，这次不针对 API 用户，而 API 用户恰恰才是最像真正蒸馏用户的群体。所以从这个角度看，这事压根不是冲着反蒸馏去的。

这有点像苹果做隐私保护。苹果做隐私保护，表面上是保护隐私，实际上是为了把那些原本可以被挑挑拣拣的广告位重新卖出去。很多事情表面上一回事，实际上做的是另一回事。

我的判断就是，Anthropic 这次没有真正想搞反蒸馏，它要打的是羊毛党。就跟前段时间网飞打击共享账号是一个逻辑。

封号与 KYC：两件相关但独立的事

再说封号。首先要讲清楚一件事：Anthropic 是经常封号的。去年封了 145 万个号，申诉成功率 3.3%，说明它封号比例很高。

但这次 KYC 和封号之间没有必然联系。不是说我想封你号了，先给你做一次 KYC；也不是说做一次 KYC 就能申诉成功。这两件事是独立的。想封你，我就直接封；想让你做 KYC，你就去做，二者没什么联动。

已知的封号处罚条件

1. 不支持区域的访问和注册，比如中国用户访问。这个我自己就遇到过。我有一个谷歌邮箱，有一次忘了挂梯子，那个邮箱就直接废了。后来想救回来、想重新充值，根本不行，上来就是“这个邮箱被封禁了”，再也申请不开了。
2. 第三方 OAuth 登录。比如玩“龙虾”的 OpenClaw、Harness、OpenCode，这些都是 Anthropic 明确禁止的。你现在用了，可能还没被抓到；但以后如果因为这个理由封你，也别去申诉，因为申诉时它也不会退你钱。
3. 数据中心 IP 和非住宅 IP。因为我们挂梯子访问 Anthropic，梯子的 IP 很多都在云计算机房里。用这种 IP 去访问很容易出事。系统会识别你的 IP 是数据中心 IP 还是住宅 IP。所以现在很多人都在卖什么“固定住宅 IP”。至于这些 IP 怎么来的，大家自己脑补。
4. 异常高频的 agent 调用，被识别为非人类行为。有些蒸馏行为会踩到这条。
5. 新账号、新 IP、异常行为同时出现。很多人说“我这一直好好的”，那是因为你是老账号，用了很多年，一直在充钱。这样的账号即便 IP 有些跳动，通常也不太管你。但新账号、新 IP，一上来就可能秒封。经常能看到有人抱怨，刚封完一个账号，重新开一个，充了钱马上又被封，这种情况概率很高。
6. API 探测和安全测试。虽然也会快速处罚封号，但碰到这种事的人其实不多，比如你做黑客测试，或者要求它做一些特别危险的事情。
7. 未满 18 岁。如果系统跟你聊了半天，觉得你实在太幼稚，也有可能被封。

至于正常使用 Claude、很小心地用 Claude 的普通中国用户，其实还是可以继续用下去的。跟这次行动或者过往的封号条件，关系没那么大。

封号的典型特征

• 无预警，多数没有事前警告邮件，直接就封，而且不解释。
• 封号邮件通常不说明具体原因。
• 有的时候会自动退款，但账号不恢复，这只是部分案例。
• 新账号和新 IP 更容易秒封。
• KYC 通过不等于免死金牌，通过 KYC 后仍然可能被封。

申诉与退款情况

申诉方面，确实有机制，但成功率很低，去年只有 3.3%。没有固定时限，也没有确认回执，大部分用户申诉之后都是石沉大海。你不能指望说我申诉了，24 小时、48 小时一定给我回复，不会的。你发了申诉信，没人理你，是正常的；有人理你，反而比较奇怪。现在也没有证据证明申诉必须先做 KYC，所以 KYC 和申诉也是独立体系。

退款方面，如果是政策违反，不退款。特别像我们在中国使用，就属于政策违反。

Anthropic 主动终止，也就是你没有违规，但我觉得你有些问题，又不想给你解释，就把你终止了，这种通常会按比例退款。比如你用了多少天，剩下的钱退给你。

申诉成功，一般是恢复使用，不会给你退款。自动退款但不恢复账号，也有部分案例。

所以我们有时候通过第三方购买 Anthropic 账号时，对方也会写清楚：如果 Anthropic 不给你退，我也不退；如果 Anthropic 退了，我可以帮你退一部分。

为什么中国开发者最疼？

为什么中国开发者最疼？大概有五层原因。

1. 地区问题

中国本来就不在 Anthropic 的支持范围之内，本身就是敏感地区。但中国人又特别勤奋，很努力、很认真地用 Anthropic 写各种程序。中国程序员数量多，而且又卷，所以这次封号会对很多中国程序员的个人账号造成影响。

2. 支付问题

大量中国开发者使用的是非标准支付路径，不是本地银行卡，因为中国银行卡本来就付不了，所以会用虚拟银行卡、代付、第三方平台充值等方式。这本来就在灰色地带。

而且虚拟信用卡代付里，确实有一部分会出现支付失败。以前我们做游戏就遇到过，用户先支付，过一段时间又申请挂失，说银行卡丢了，或者最后交割不过来。中国用户使用这些虚拟信用卡，也确实可能给 Anthropic 造成了一定经济损失，所以它也会倾向于把这些人筛出去。支付链路异常，本身就会触发风控画像。

3. 访问问题

代理 IP、时区异常、设备切换、网络环境异常，这些在中国用户身上都很常见。美国人该下班就下班了，我们一天 24 小时干。甚至有人在 X 上分享，半夜定闹钟起来，到 OpenClaw 上按个回车，把 5 小时额度刷完再接着跑。这种行为非常容易出问题。

挂梯子的人又经常换线路，没法保证统一 IP。对个人用户来说，这种正常使用场景，在风控系统里就是可疑信号。真正公司里反而不会有这个问题，因为公司会直接在美国 AWS 或谷歌云上租服务器，建立私有通道，IP 不会频繁变化。

4. 使用强度问题

中国人的勤奋程度太高了。把 Claude 当生产工具的开发者，调用频率和时长远高于普通用户。Anthropic 给你的套餐，本质上更像一个自助餐，它希望每个人进去礼貌地吃两口就走。哪像我们，进去以后猛吃猛造。

高频调用、长时间运行、复杂任务，在风控系统里绝对属于异常画像。越依赖 Claude 的人，反而越容易触发风控。

5. 替代成本问题

不是不能换 OpenAI、Gemini 或国内模型，而是换了以后，工作流会断，代码质量会下降，效率会受影响。对于程序员来说，他们还是更愿意用 Claude。

很多人劝我用 Claude，但因为我自己目前没有特别重的开发任务，所以我还在用 MiniMax、OpenAI、Gemini 这些模型，基本不影响我。但如果我今天突然有一个很重的开发任务，我也会义无反顾去买 Anthropic 套餐。

最讽刺的地方：不是不愿实名，而是你想实名都不让

最讽刺的细节是什么？中国用户对实名制本身一点都不陌生。因为在国内平台，都是要求实名认证的。没有任何一个中国 AI 平台会让你开账号充钱而不实名。

所以中国人对这件事太熟了。真正崩溃的点不是“怎么突然要实名了”，而是“我想实名，结果你不让”。不是平台要求我多走一步，而是平台把门装上了，但我的钥匙天然不兼容。这才是中国程序员最悲催的地方。

KYC 的真实效果边界：到底管不管用？

那么，KYC 的真实效果边界在哪？到底管不管用？为什么我说，对真正蒸馏它的人其实没什么用？

Persona 自身的安全记录并不让人放心

首先，Persona 的安全记录确实不怎么样。2026 年 2 月刚丢了 2,456 个文件，Discord 因此终止合作。我觉得 Discord 这一步做得挺对。

Persona 在 2024 年 9 月还出现过一次键盘记录漏洞，暴露了用户填写 KYC 时的内容。到现在到底修没修好，也不清楚。所以 Persona 本身就不是一个特别安全的 KYC 第三方机构。Anthropic 选它来做第三方，也被很多人嘲笑。

KYC 真正拦得住谁，拦不住谁？

再说 KYC 对蒸馏的阻拦效果。它真正能拦住的，是低成本批量乱入的 VPN 用户、共享账号用户和虚拟支付用户。

而中国 AI 的这些大厂，不管是“四小龙”还是“六小龙”，你根本拦不住。人家是有组织、有预算的机构，不在乎省你这点钱。挂 API、按 Token 算，用海外实体签协议就行了。所以你想抓住他们，基本不现实。

这次真正能打击的是低门槛的灰产。那些 AI 公司本来就在海外有公司、做 VIE 架构，完全可以用海外实体开账号干活，没问题。

真正会被卡住的，更多是个人开发者，尤其是第一次开号的人。新账号很容易被拦住，但经过多层代理分散调用的路径，其实你也拦不住。所以即使现在我想继续用 Claude，我依然能用，不用太担心，只是会比原来贵一点。

KYC 的真正作用

所以 KYC 真正的作用是什么？

1. 提高成本，把低技术门槛的滥用者挡在门外。
2. 表达态度，在合规和舆论上展示“我已经尽力风控了”。Anthropic 的老大 Amodei 一直很喜欢出来表达态度，比如他说如果美国给中国卖 H200，就相当于给朝鲜供应核弹，立场是非常明确的，而且他在美国各大 AI 公司里算是最极端的一类。
3. 用户筛选，把高消耗、低透明、高风险的用户尽量处理掉。

这就是这次 KYC 干的三件事。

但灰色市场不会因此被干掉，只是成本会增加。该干嘛还是干嘛。中国人翻了这么多年墙，币圈的人做了这么多年假 KYC，他这一个新手上来，除了表演一下行为艺术，不会有太多其他效果。

现有生态里，待认证、待开号、企业账号拆分、代理分销，在 KYC 之下依然可以继续，只是成本稍微上升。KYC 上线以后，代理的风险和利润空间都会上升。黑灰产会升级，但不会被消灭。

实际受害者的顺序，大概是：普通人先疼，然后代理涨价，黑灰产升级，真正专业绕路的人、真正蒸馏他模型的人，根本拦不住，也不是针对他们去的。

行业背景：美国 AI 大厂正在集体收紧

这件事还有一个行业背景：美国 AI 大厂实际上都在集体收紧。

2025 年 9 月，Anthropic 开始对中国方向收紧 API 访问。

2025 年 12 月，谷歌对抓取蒸馏和模型抽取问题发表过声明。当时它的 Nano Banana 刚出来，谷歌其他模型比如 Gemini 3、Gemini 3.1 算是能打，但和 OpenAI、Anthropic 比还是有差距。现在我用谷歌模型已经越来越少了，但他们家的生图模型绝对最好用，虽然不一定最漂亮，但最准确。

肯定会有很多中国模型公司去抓它的图片回来做升级。现在再看阿里的通义万相、字节的 Seedream 5.0，已经越来越接近 Nano Banana 的水平了。至于怎么追上的，我只能说纯属巧合，其他不知道。

到了 2026 年 2 月，Anthropic、OpenAI、谷歌几乎同期公开指责中国实验室蒸馏。三家还联合成立了一个叫“前沿模型论坛”的机构，共享威胁情报，说谁发现被蒸馏了，谁发现了什么问题，大家互相通报。

其实这三家本来都是死对头。OpenAI 当初就是为了对抗谷歌建立的；Anthropic 又是 OpenAI 叛将出来创办的。所以这三家能联合起来搞这个论坛，本身就挺不容易。

在这三家里，谁面对蒸馏和假账号的经验最丰富？其实是谷歌。它这么多年面对各种刷广告、SEO，经验丰富得一塌糊涂。如果他们三家真的认真协同起来，确实有可能降低蒸馏概率，或者提高蒸馏成本。但你说这三家能有多真心实意地合作，大家自己脑补就好了。

当前各家的状态

• Anthropic：直接上 KYC 了，虽然是选择性的，只有很少一部分用例会遇到。
• 谷歌和 OpenAI：自己并没有做类似的事情，只是发了公告，说了几句话，实际动作没有那么大。
• 地区开放情况：谷歌目前其实还在稍微向我们靠拢一点，准备开香港地区使用，但好像香港 IP 挂 Gemini 现在还是有问题。在香港能正常用的，OpenAI 不行，Anthropic 不行，xAI 可以。谷歌宣称要开，但到目前为止似乎还没有真正打开。

闭源模型怕蒸馏，开源模型不怕

至于蒸馏，谷歌、OpenAI 和 Anthropic 这些闭源模型公司，肯定都不希望被蒸馏。但开源模型对蒸馏本来就不限制。

无论是 LLaMA、千问，还是国内的 MiniMax、GRM，你都可以直接拿权重去用，蒸馏根本不算什么大问题。真正不希望被蒸馏的，就是这些闭源模型公司。

总结：这次事件的三层表述

总结一下，这次事件有三层表述。

1. 官方说法：这是少数场景下的身份验证，是安全与合规的一部分。
2. 已经确认的事实：选择性 KYC 已经上线了；第三方 provider 对中国大陆证件支持有限；中国开发者的使用门槛确实被抬高了。
3. 我的判断：表面上这是反异常调用、反蒸馏，底层更像是一次针对高消耗、低透明、跨区、高风险用户群体的筛选和清洗，本质上是反薅羊毛。

结论：中国程序员的天塌了吗？

最后一句：中国程序员的天塌了吗？还没有塌到不能干活的状态，但原来那条便宜、灵活、默认可用的路，确实不通了。

以后还能不能用 Claude？大概率还能用，就是稍微贵一点。代理代价会更高，路径会更窄，不确定性会更强，更多人可能会被封号。

普通人会更艰难，代理商会更挣钱，真正有组织能力的人，该蒸馏还是照样蒸馏，一点都拦不住。这才是这件事情最现实、最残酷的真相。

Anthropic 这次不是要堵住那些偷师的人，而是要先赶走那些把会员卡用得太狠的人。这就是这一次的故事。

背景图片

Anthropic 的最新模型 Mythos，到底强到什么程度了？会不会像核不扩散一样，被美国死死掐在手里？

今天咱们来聊一个很吓人的话题。Anthropic 最新曝光、后来又正式官宣的模型，叫 Claude Mythos Preview，中文大概可以叫“克劳德·神话预览版”。它到底有多吓人？

Mythos 为什么引发巨大关注

这个模型，之前我们还分析过。从名字上看，它绝对不是 5.0 这样的普通版本升级，而更像是规模上的扩大。所以以后 Anthropic 的模型，可能每次升级就是 Mythos、Opus、Sonnet 和 Haiku 一起升级。

Haiku 是很小的、讲究音节的诗，Sonnet 是十四行诗，Opus 是作品、篇章，而 Mythos 是神话。从命名上来看，这个东西应该是非常非常强大的。

这一次发布有一个非常神奇的地方，就是它不给别人用。我发布了，但并不向大家公开，不让大家直接使用。它开了一个计划，叫“玻璃翅膀计划”。

“玻璃翅膀计划”到底是什么意思

为什么要用这样的方式？因为这个东西实在太危险了。Anthropic 当时就在讲，Mythos 在网络安全方面非常强，可以去攻击漏洞，也可以去发现漏洞。

一旦拿出来，现有的操作系统、网络设备以及芯片，很多问题可能都会被它找出来，而且它还可以自动去攻击。这件事情实在太危险了。

那怎么办？Anthropic 邀请了一些友好的合作伙伴，先把这个产品拿出来，把漏洞补上，补完以后再说。它做了这样一个“玻璃翅膀计划”。

这个名字也让人想到一个神话故事：有人用蜡做的翅膀飞向太阳，最后离太阳太近，翅膀化掉了，人就摔死了。所以这个“玻璃翅膀计划”，按照 Anthropic 一贯喜欢用“人类”“故事”一类命名规则来看，应该也是一个类似寓意的名字。

Mythos 可怕在哪：不只是找漏洞，还可能自动利用漏洞

那么 Mythos 到底有多吓人？很明显，Anthropic 担心这样的模型一旦流出，坏人就可以用。用 Anthropic 的话来说，Mythos 是一个“两用技术”。我们现在也经常讲两用技术，就是既可以民用，也可以军用。所以它显然也具备做军用用途的可能。

据说它在训练过程中就发现了数以千计的额外高危或严重级别漏洞，非常非常多。你会说，我们这么多系统，积累了这么多年，也是人类智慧的结晶，怎么会千疮百孔？

其实很简单。当一个系统复杂度达到一定程度以后，里面一定会有一些以人力无法找到的漏洞。人力有时而穷，但现在有了 AI，它就可以把这些原来靠人力找不到的问题，通通给你找出来。

所以我们以前使用的各种防护系统、操作系统、网络设备、芯片，在 Mythos 面前，基本上可以认为是在裸奔了。这是一个非常危险的事情。

而且它不仅能找，还会打。传统上，很多模型或者工具更多是辅助分析，比如我拿你的源代码分析一下，看看哪里可能有问题。Mythos 让人紧张的地方就在于，它已经不只是告诉你哪里可能有 bug 了，它还可以进一步参与：

• 漏洞分析
• 利用链的构成
• 攻击路径的演练
• 提权链的拼接
• 更复杂的漏洞利用代码开发

所谓“提权”，就是我进去以后把自己的权限提高。它甚至可以直接写出漏洞利用代码，把漏洞打开。它还可能直接突破主流操作系统和主流浏览器。

Anthropic 的公开材料里写过，Mythos 在每一个主要网页浏览器中都识别并利用了漏洞。相当于某种病毒突然进化到让所有抗生素、所有免疫系统都拿它没办法的地步了。

Anthropic 已公开了哪些信息

那它到底发现了哪些漏洞？现在 Anthropic 其实已经公开了一些，但严格来说，这叫“负责任的披露”。

什么是“负责任的披露”

很多黑客其实没有自己发现漏洞的能力，他们怎么攻击别人？他们看新闻，看到哪里有漏洞被公开了，就去打那里。那为什么公开的漏洞还能被利用？因为你升级升不过来。

今天这边说某个漏洞发现了、补丁出了，结果你那边还没补，很多黑客就是干这样的事情。

所谓负责任的披露，可能就是说：

• 我告诉你哪有漏洞了，但我不告诉公众具体漏洞细节
• 同时我会通知厂商
• 还要等厂商自己决定怎么公开、怎么让用户升级

比如告诉苹果，你家的操作系统和浏览器有什么问题；告诉谷歌，你家的 Android 和 Chrome 有什么问题。并且在告诉之后，还要等厂商自己决定怎么公开、怎么让用户升级。

现在真正被点名的，其实只是少数案例，大量案例还没有说出来。

目前提到的典型案例

比如，OpenBSD 有一个 27 年的老 bug 被它找到了，27 年都没人发现。OpenBSD 是什么？我们现在使用的苹果 macOS、iOS、iPadOS，这些系统的底层都和 BSD 有很深的关系。还有任天堂 Switch、索尼 PS5，底层也都和 BSD 有关系。这样一个老漏洞被它拎了出来。

另外，FreeBSD 一个 17 年的远程代码执行漏洞也被找到了。BSD 本身也有很多分支。Linux 内核的本地提权链条也被它找到了，它可以直接进入 Linux 内核里提权。

你可能说我又不是服务器，但安卓手机的核心就是 Linux。只要你是安卓手机，它就可以通过 Linux 内核提权链条把权限提上去。

至于主流浏览器，Anthropic 官方已经确认，Mythos 在主流浏览器中识别并利用了漏洞，但细节没有公开。浏览器其实比操作系统还复杂，因为浏览器要打开网页，而每个网页里实际上有很多很多 JavaScript 代码，这些代码可以利用浏览器漏洞做各种事情，这就非常危险，所以这部分它不敢细说。

Anthropic 是怎么官宣 Mythos 的

Anthropic 的官宣时间线也很值得注意：

1. 2026 年 3 月 26 日，媒体先发现了端倪。《财富》杂志说他们发现 Anthropic 的 CMS 系统泄露了一个新模型名字，叫 Mythos。
2. 2026 年 4 月 7 日，Anthropic 正式官宣，说我们有一个“玻璃翅膀计划”。
3. 同时放出了 Claude Mythos Preview System Card，也就是预览版系统卡。
4. 此外还发布了一些安全研究文章，以及平台上的 release notes，也就是更新说明。

这些都是正式发布出来的材料。

第一批参与“玻璃翅膀计划”的组织有哪些

但是，到底给谁用、不给谁用？这就涉及参与项目的名单了。第一批大概包括以下这些组织：

• Amazon AWS：亚马逊云科技。上面有大量云主机，如果这块搞不明白，风险极大。
• 苹果：有 iOS、macOS、iPhone、Safari 浏览器，还有自己的芯片，漏洞必须赶紧补。
• 博通：做各种 ASIC 芯片，比如谷歌 TPU，很多定制算力芯片也与它相关。
• Cisco 思科：专门做路由器，网络攻击里路由器一定是重点目标。
• CrowdStrike：专门做网络安全防护的公司。
• 谷歌：Android、Chrome 都在里面，底层还有 Linux。
• JPMorgan 摩根大通：银行系统也要做预案和补救准备。
• Linux Foundation：Linux 基金会下面有大量开源项目需要一起补。
• 微软：有操作系统、Office、网络设备和云服务。
• 英伟达
• Palo Alto Networks：大型网络安全公司。
• Anthropic 自己

后面官方说还会逐渐扩充到 40 多家额外组织，但这些额外组织到底能不能拿到完整的 Mythos，这事就不好说了。刚才点名的这些公司，具体怎么用 Mythos，其实也没有说得特别清楚。

所以现在能看到的情况是：模型出来了，但先别发布给公众。先把受影响的基础设施拉个小群，封闭起来，把 bug 修一修，然后再说后面的事。

Mythos 以后会开放给公众吗

那是不是等 bug 修完以后，Mythos 就可以开放了？这个还真不好说。所以前面才会说，这件事情有点像核不扩散协议的玩法。

Anthropic 当前的逻辑是：先给少数可信的合作方使用，先帮助关键系统、关键软件、关键开源项目找漏洞并修补。在这个过程中，建立更强的安全措施和防护机制，也就是安全护栏。然后再看未来怎么安全地部署“Mythos 级别”的模型。

这里“级别”这两个字很关键，意思不是说一定把原生 Mythos 放出来，而是可能放出具有类似能力的产品。也就是说，普通人很可能永远都看不到原生的 Mythos 模型了。

Anthropic 有没有说什么时候开放给公众？截至目前，没有给出开放时间表。而且官方说得非常明确：我们不计划让 Claude Mythos Preview 普遍可用。

也就是说，他们压根没打算把这个版本全面开放。它的意思并不是永远不会有类似能力的产品发布，而是当前这个 Preview 版本不准备全民开放。未来在他们认为比较安全的时候，可能会开放一些 Mythos 级别的产品出来。至于到那个时候产品是什么样，现在不好说。

这像不像“AI 版核不扩散”

这就有点像核能利用。高浓缩铀谁都不允许有，但你要和平利用核能，比如做放射医疗，或者建核电站，使用低浓缩铀，是不是可以？未来 Mythos 级别产品，也可能朝这个方向发展。

至于 Mythos 的价格，现在也没有完全公开。很多报道说没有明确价格，但成本太高，这东西实在太贵，普通人就算给你用，你也用不起。

这个大家其实可以想象，它可能是一个极其巨大的模型。Opus 就已经比 Sonnet 大很多了，那 Mythos 很可能比 Opus 还大。整个模型跑起来，可能非常非常不经济，这也可能是它没办法向公众开放的原因之一。

当然，也许未来硬件成本进一步下降，比如显卡算力变得更便宜，这个东西才有可能开放出来。成本可承受了，才有机会普及。

至于前面那些参加项目的组织，Anthropic 也给出了参与方价格，但普通人肯定拿不到：

• 输入价格：每百万 Token 25 美元
• 输出价格：每百万 Token 125 美元

比现在常见模型贵很多，普通人目前根本没法用。

它会不会被美国严控

那么最敏感的问题来了：它会不会像核不扩散一样被美国严控？

首先讲，目前没有明确证据表明 Mythos 已经进入了类似核不扩散那样的正式国际治理架构。这更像是一个标题上的类比。但是从战略效果上说，它确实已经出现了一点“高端网络能力受控扩散”的意味。

Anthropic 自己也说这是一个两用技术。既然是两用的，那到底给谁用、不给谁用，怎么防止别人用上，这就是他们真正要思考的问题。

因为你看 OpenAI 不给中国大陆直接用，其实也不是真的拦得住。我们可以去美国建机房，可以在新加坡建机房，照样可以用。我想蒸馏你，你一点都拦不住。所以这种两用能力到底怎么管控，是个很现实的问题。

可以从三个层次理解这件事

第一层：它不是核武器，但像网络安全时代的战略工具

核武器的特点是极端稀缺、门槛极高、扩散极敏感。Mythos 这样的模型未必有核武器那种一锤定音的破坏力，但它可能在另一个维度上造成类似效果：

• 谁先拿到，谁就更快找到漏洞
• 谁先拿到，谁就更快修补自己的系统
• 谁先拿到，谁也更可能让别人的系统直接崩溃

所以它不是现实中的炸弹，但它可能是网络安全系统上的一颗巨大炸弹。

第二层：先发优势非常巨大

如果美国公司和美国盟友的关键厂商先拿到这种能力，那他们至少在几个维度上会比别人更快：

• 更快发现自己系统的问题
• 更快补上开源和商用组件上的问题
• 更快建立 AI + 漏洞治理 + 补丁分发的新体系

在这里，时间差非常重要。

第三层：未必是永久垄断，但一定是阶段性领先

它不像核武器那样，别人几十年也追不上。因为网络安全最终还是要落到补丁、配置、代码审计、供应链治理、自动更新系统这些基础工作上。

也就是说，后发国家并不是完全没路，但这个时间差非常要命。

下面这些属于大胆猜测，不是已证实事实

猜测一：Mythos 的意义可能是一条漏洞发现工业化流水线

过去找漏洞靠的是顶级研究员长时间审计少量高价值目标，而 Mythos 可能代表着把漏洞发现、利用链拼接、风险评估、修复建议，推向半自动化、规模化和工业化。

原来很多虽然做得很烂，但没有太大被利用价值的系统，烂也就烂了；有了 Mythos 这样的模型以后，可能全都暴露出来。

猜测二：Anthropic 不公开，不只是出于道德

第二种猜测，Anthropic 现在不公开，不只是出于道德，也可能是因为这个东西太敏感、太贵、太难控制。官方当然会强调安全和负责任，这没有问题，但从现实角度看，可能还叠加了几层原因。

原因一：太危险

拿到这样的系统以后，整个世界都可能变得更可怕，而且太容易被国家级攻击者利用。之前就有说法称，有中国团队曾利用 Opus 模型去写各种攻击代码。一旦 Mythos 这种模型被攻破或者被越狱，后果会非常可怕。

这有点像什么？像锦衣卫监察百官，然后又建立东厂监察锦衣卫，再建立西厂监察东厂。你说如果锦衣卫、东厂、西厂自己腐败了，或者被人攻破了，那危害就极大。

现在等于 Mythos 站在最上面，它成了新的监督者。一旦它被越狱，这件事就很难控制。

原因二：容易引发监管震荡

另外，这个产品太容易引发监管震荡。再加上它的算力成本太高，一旦开放，输出边界基本没法控制。

猜测三：未来最吃亏的是补丁链条慢、设备老旧、升级困难的系统

以后最吃亏的，不是没有大模型的国家，而是补丁链条慢、设备老旧、升级困难的系统。比如中国现在大量系统，其实也是拿 Linux 改一改，或者拿 Android 改一改。别听那些吹牛，说什么从头自主研发、自主知识产权。很多底层漏洞，你还是得等 Linux 那边去修。

但问题是，Linux 修了，我们也打上了，中国这些系统就安全吗？平时不打仗，可能看起来没毛病。但你真到冲突环境里，你相信别人会把所有漏洞都补给你吗？会不会自己留两个？你要是完完全全相信对方是好人，那就太天真了。

当然，还有像鸿蒙这种号称从头自己做、没有参考其他系统的东西。那你就没法直接跟着别人的补丁体系去升级。以后如果我们自己做不出同样级别的能力，这种号称完全自主开发的操作系统、浏览器或者各种编译系统，就没有任何安全性可言。你没有参与到这个圈子里，问题就会很大。

Mythos 可能带来的现实变化

这种系统出来以后，会带来什么变化？一个非常现实的变化就是“以旧换新”必须加快推进。为什么？因为不是所有系统都可以打补丁，不是所有设备都能把漏洞补上。有很多设备根本没法整。

比如华为在全世界卖了那么多网络通信设备，你现在又没有被邀请进那个补丁体系里，人家做的各种修补你未必用得上。因为你自己号称自主研发、自主知识产权。那么这些设备可能就该以旧换新了。

所以，Mythos 模型的发布，可能会极大推进全世界华为设备的淘汰。这也是一种推测。

另一个猜想：Claude Gov 可能已经在用 Mythos

还有一个猜想：Claude Gov 可能早就已经用上 Mythos 了。这纯属猜测，没有事实依据。

因为美国、以色列和伊朗之间的冲突里，很多人都在说，伊朗内部各种网络安全设施形同虚设，漏洞多得像筛子，间谍也好，内鬼也好，到处都是。

可你要想清楚，很多高职位的内鬼未必懂计算机，低职位的人又未必有能力决定重大行动。但现在伊朗各种内部安全系统，包括监控系统，看上去就像给美国开着地图打仗一样。那是不是 Mythos 已经在里面干活了？这只是个人猜测，没有任何事实依据。

最后的判断：Mythos 的真正危险是什么

最后给一个完整判断。

Anthropic 的 Mythos 不是核武器，但它有一定的“核属性”。它是两用技术，是战略能力倍增器，可以看成网络安全领域的战略能力倍增器。

它最可怕的，不是能找到几个 bug，而是它可能意味着：

• 漏洞发现被规模化
• 利用开发被自动化
• 防守与进攻之间的时间差被急剧压缩

原来我发现问题了，到真正攻击你，中间还有一段时间，你还能补。现在这个时间差可能直接就没了。

关键基础设施里的老旧系统，必须加速以旧换新，因为这些系统会越来越不安全。谁先掌握这类模型，谁就能掌握安全节奏。

而 Anthropic 现在的做法，说白了就是一句话：这东西太强，强到不能像普通模型那样，先扔给所有人再说。

所以今天大家最该盯住的，已经不是它会不会写诗、会不会做题，而是它会不会把全球网络安全正式推进到一个 AI 大规模找漏洞的新阶段。因为一旦到了这个阶段，全球网络可能会出现大规模震荡。

如果真到了这一步，Mythos 也许不是终点，它只是第一个开枪的人。就像美国在广岛扔下原子弹以后，斯大林马上就下令必须去做一样。我相信国内的各种安全公司、大模型公司，现在应该也在奋起直追。

这个事情，还是非常非常危险的。

背景图片

Claude Code 源代码泄露了。一个以安全著称的 AI 公司，为什么总犯这种低级错误？AI 干活到底靠不靠谱？

先讲简单事实。2026 年 3 月 31 日，Claude Code 的源代码泄露了。它本身不是开源软件，而是闭源软件，但在打包发布时，直接把源代码一起打包进去了。发布之后很快就被人发现了。从名字上看，发现的人应该也是中国人，叫“潮饭说”。发帖披露后，这个帖子获得了 2.2 万次点赞和 1100 万次阅览，一下就爆发了。

先说结论：这不是第一次，已经是 Anthropic 第三次干出同样的事了，都是在发布时直接把源代码打包进去。这种泄露对于 Anthropic 来说损失巨大。各个层级的竞争对手都可以从中学习它的软件架构，连防蒸馏模块也一起泄露了，反而更方便竞争对手去进行蒸馏。商誉也受到了难以估量的损害。它号称最安全，结果却先干出这种事。

按 Anthropic 现在的内部工作方式来看，内部每天 60 到 100 个内测版本，对外基本日更，慢一点也是两三天更新一次，90% 的代码和流程都由 AI 控制。这种事情几乎没办法彻底避免。想继续当老大，就不能慢下来，必须越来越快。所以这绝对不会是最后一次。

这件事可以分几部分来讲：

1. 技术上到底发生了什么；
2. 这次泄露的内容里到底有哪些有趣的东西；
3. Anthropic 这次损失到底有多惨；
4. 留给 Anthropic 和它竞争对手的选择其实都不多，只能继续狂奔；
5. 对于普通项目和个人来说，到底能不能安全地使用 AI。

技术上到底发生了什么

Claude Code 不是一个特别庞大的系统，一共大约 51 万行代码。对比一下：Linux 内核大约 3500 万到 4000 万行，Chrome 浏览器 3600 万到 4000 万行，VS Code 大约 300 万行，PostgreSQL 约 130 万行。所以 Claude Code 其实不算特别大。

它的代码是用 TypeScript 写的。写的时候肯定要求提高可读性，虽然大部分是 AI 写的，但人还是要进去读。发布时，它发布的是一个 npm 包。npm 有专门的打包工具，打包时会把这些代码转换成 JavaScript。

JavaScript 虽然也是解释执行的语言，但在打包过程中，会把所有细碎的小文件塞进一个完整文件里，再把变量名处理掉，做代码混淆，把注释去掉。做完这些以后，代码就非常难读了。拿到打包后的代码，一般很难直接解读。不是完全不能逆向，但极其费劲，尤其是 50 多万行代码，做逆向工程会非常困难。

但问题是，打包后还得保证代码能正确执行，还要调试。不能说在原始代码上调试完，打包之后就不管了。所以这里就需要一个东西，叫 source map，也就是源文件映射。它的作用是告诉你：打包后那份几乎人类不可读的代码，原来对应的是哪个文件、什么名字、哪几句代码。

这次 Anthropic 把这个东西也一起放进包里了。有了 source map，理论上就可以还原和处理这些代码了。但更夸张的是，source map 里还写了一句：他们把所有源码包放在 Cloudflare 的 R2 空间上。

R2 本质上是一个公开可访问的对象存储空间，类似网盘，文件上传之后可以通过 URL 获取。正常情况下这也未必有问题，因为链接本来是很长的一串乱码，外人通常找不到。但 Anthropic 把这个链接直接写进了 source map 里。

结果大家顺着这个线索一看，发现里面有个叫 src.zip 的文件。打开一看，1900 多个文件。也就是说，连根据 source map 去反编译、去还原代码这一步都省了，直接把完整源代码包抓回来了。这等于发福利发得非常狠。

正常情况下应该怎么避免

正常情况下，怎么避免 npm 把这些内容打进去？开源软件通常会把源码文件一起打包进去，这没问题，比如 OpenCode 之类的开源项目就是这样。但闭源项目在打包时，应该写一个叫 .npmignore 的文件，告诉打包工具哪些文件不要放进去。

正常流程应该是在打包前把 source map 等不该发布的文件排除掉。问题在于，这个 .npmignore 文件大概率也是 Claude Code 自己，也就是 AI 写的。而 Anthropic 的代码，包括 Claude Code 自己的代码，90% 以上都由 AI 生成。于是这个文件写错了，最终导致了这次泄露。

Anthropic 的补救措施

Anthropic 当然也做了补救，而且补得很快。泄露包发布几小时后，他们重新发了一个补丁包。原来是 v2.1.88，修补后版本号还是 v2.1.88，只是把 source map 文件删了，再发了一次。

然后又向 GitHub 提交了 DMCA 申请，也就是数字千年版权法案请求，要求删除泄露内容相关的仓库，总共删了 8100 多个仓库。

但这肯定已经晚了。像这种本来就在风口浪尖上的项目，一旦被发现出事，信息传播速度会非常快。大量分支仓库、镜像仓库肯定已经出现了。GitHub 上这类删除操作，必须找到最初的源头仓库，把它的所有分支都删掉才有效。

但只要有人把代码拉下来，稍微改几句，再传一个新仓库上去，这种就删不掉了。所以这类补救基本只能算聊胜于无，相当于“我已经努力过了”。

Anthropic 的官方 X 账号和官网都没有发出任何公开说明。这个也不难理解。一个以安全著称的公司，干出这种事，确实很难对外解释。

当然，犯这种低级错误的公司绝不止 Anthropic 一家。不要因为这个事件就简单得出“Anthropic 不安全”的结论。实际上，它可能依然是最安全的那一批。之所以这件事闹得沸沸扬扬，是因为它站在风口浪尖上，被太多人盯着。一旦出纰漏，就会快速爆发。很多没那么知名的小项目，源码一样可能满天飞，只是大家懒得看而已。

这次泄露内容里有哪些有趣的东西

1. “卧底模式” Undercover Mode

第一个是“卧底模式”，Undercover Mode。这个功能是干什么的？它会在每次向 GitHub 公开仓库提交代码时，先检查代码里有没有写“这是由 Claude 生成的代码”、有没有暴露 Claude 的版本号。

如果有，就把这些痕迹删掉，让它看起来像真人写的一样。这个机制本身未必有问题，但现在它自己也随着源码一起泄露出来了，就显得很讽刺。

2. 反蒸馏模块

第二个比较有意思的是反蒸馏模块。大家知道，很多模型会去蒸馏 Claude 模型。为了防止被蒸馏，Claude Code 里专门写了一个模块来做这件事。

这里面有几步：

• 第一步是假工具注入。大模型是可以调用工具的，它会在 API 响应里埋入虚假的工具调用，让竞争对手收集到的训练数据带毒。
• 第二步是思维链加密。Claude 的思考过程其实也会发到客户端上，但它是加密的，必须用自己的 API key 才能解开来看，这也是为了防止蒸馏。
• 第三步是输出投毒。Claude Code 的流量使用定制的 JSON 协议做隔离，让爬虫更难解析。

结果这次连整个防盗系统也一起泄露了，大家就看到了它在反蒸馏方面的这些小心思。

3. 大量表情符

第三个比较显眼的是代码里表情符特别多。因为它 90% 都是 Claude Code 自己写的，所以代码和日志里有大量表情符。这个其实不难理解。AI 写完代码以后，人还是要读的，加入一些表情符确实能提升阅读体验。

4. 泄露内容中总结出的 14 条提示词原则

还有人从泄露内容里总结出了 14 条提示词原则，认为普通人也可以借鉴。不管你是在带下属、带学徒，还是平时和 AI 对话，这些思路都挺有参考价值。

1. 用禁令代替指令。与其告诉 AI“你要做这个、你要做那个”，不如明确告诉它“你不许做什么”。可做的事情很多，不可做的事情相对更少，把禁令写清楚，反而更容易把事做对。
2. 专门设计一个“唱反调”的角色。它的任务不是确认一切都能用，而是尽量找出问题。
3. 不要画蛇添足，不要加用户没有要求的东西。AI 特别喜欢顺手多改一点，这往往很危险。这次 .npmignore 被改错，很可能就跟这个习惯有关。
4. 如实汇报，不要润色，也不要过度谦虚。AI 经常在回答完后补一句“我可能理解得还不够透，您再看看”，这种其实是一种提前甩锅。源码里也有明确约束，不让它这么干。
5. 活可以分出去，但思考不行。可以开很多子任务并行处理，但最后判断必须回到主任务来做。
6. 不知道就说不知道，不要猜。这是为了堵住 AI 幻觉的最大来源。
7. 先看再改，不要凭空编造。AI 编程时经常不先读完整上下文，就直接生成一堆代码，结果根本跑不起来。代码约束很强，认真读完上下文再动手，出错率会低很多。
8. 一次授权不等于永久授权。某件事这次可以做，不代表以后同类事情都默认可以做，每次都应该重新确认。这一点其实挺反人性的，因为大家用 Claude Code 时，常常会被频繁询问“这能不能做、那能不能做”，最后用户往往会烦，直接选择“以后别问我了”。
9. 每条禁令都要写清楚为什么。不能只说“不许这样”，还要说明原因，否则 AI 会试图绕过去。
10. 信息按需提供，不要一次全给。每次让 AI 干什么，就只给它和当前任务相关的信息，不要把一大堆无关内容都塞进去。
11. 尤其不要每次都把完整工具手册甩给 AI。最省事的方式看起来像是给它一本“工具宝典”，让它自己查，但实际上这样效果并不好。
12. 沟通规范要细致到标点符号。某些标点在 Markdown 或其他标记语言里有特殊意义，可能导致内容显示异常，所以这些都要明确说明。
13. 不同场景加载不同规则。因为系统里有很多 agent 和子 agent，每个子任务都应该有自己对应的系统提示词，否则很容易串。
14. 提示词不要堆成一大段，要模块化。要有缩进、有步骤、有约束、有例子，写清楚先做什么、后做什么，这样 AI 更容易理解，也更不容易出错。

5. 还没发布的隐藏彩蛋

除此之外，还有一些隐藏彩蛋，也就是功能还没发布，但代码已经埋进去了，将来只要开个开关就能启用。

• Think Back：类似回想功能，用来做年度代码总结，比如你一年里写了什么代码、花了多少时间，听起来有点像代码版的年度复盘。
• Buddy 宠物系统：有 18 种宠物，每个宠物有不同性格。未来很多 AI agent 可能会以这些宠物性格来为用户服务。一个安全公司，代码里埋了一堆宠物，也挺有意思。
• Memeing：训练数据里出现了这个词，社区猜测这是 Anthropic 专门调教 Claude 更会玩梗的一部分训练数据。

Anthropic 这次到底有多惨

这次确实是损失惨重。竞争对手拿到了什么？是 51 万行代码、1900 个文件，也就是 Claude Code 完整客户端的全部内容。

已经有人拿着这些代码，只做了很小规模的补全，就能顺利编译出 Claude Code。它所有的机制，多代理协作逻辑、状态机、客户端展示方式、上下文压缩策略，甚至客户端侧的 5 层压缩策略，全都暴露了。

服务端部分因为没有代码，只能通过客户端反推，但很多关键接口和调用方式也都能部分逆向出来。至于 Claude 模型本身的推理引擎，那个在服务端，看不到；针对 Claude 的深度优化，也看不到。但即便如此，泄露的价值已经非常高了。

而且，这不是第一次。2025 年 2 月，Claude Code v0.2.8 和 v0.2.28 的源代码也发生过同样方式的泄露，都是直接把 source code 给出去了。4 个月后，也就是 2025 年 6 月 19 日，OpenCode-AI 这样的项目就上线了，现在号称是 Claude Code 最好的开源平替。

与此同时，Google 的 Gemini CLI、OpenAI 的 Codex CLI，以及国内的千问 Code，基本都是在 6 月前后上线的。

拿到这些代码以后，大家不会明说“我参考了你”，但一定会先研究、消化、理解，然后再“致敬”一下，把自己的产品上线。某种意义上，现在这个 Harness Engineering 的时代，基本就是上一次泄露推动出来的。上一次泄露几乎像一次“生物大爆炸”，突然一下，相关物种全出来了。

而这一次，事情更进一步。因为现在泄露代码本身就可以交给 Claude Code 来读。拿到代码以后，快速解析、快速补全、快速转译，几个小时内就能完成。以前 50 多万行代码，即便不算特别大的软件，要真正读明白，往往也需要几个月。现在在 Claude Code 的帮助下，几个小时，一个人就能搞定。

GitHub 上甚至已经有人把这套代码完整转译成 Python 版本或 Rust 版本，而且已经跑起来了。

为什么 Anthropic 很难彻底封堵

那 Anthropic 能不能彻底封堵，比如把这个版本废掉，做一次大升级，连服务端也一起改，让旧代码彻底失效？不行。除了向 GitHub 发 DMCA 请求之外，它没有太多别的办法。

因为服务端需要向下兼容，你不能说为了封堵泄露，就把所有老版本客户端都废掉。前面还有那么多用户签了协议、正在使用，不可能说改就改。所以它只能眼睁睁看着竞争对手做逆向、做代码蒸馏。

更糟的是，连防蒸馏模块都泄露了。大家甚至能据此更容易仿出一个 Claude Code 客户端，再去和它后端模型通信，蒸馏起来会更顺手。

更大的损失是商誉

更大的损失其实是商誉损失。很多人用 AI 时本来就不太踏实，会倾向选择一家“更安全”的公司。Anthropic 原来在这方面的名声非常好，甚至国防部都会用它的产品。

但现在它出了这种事，而且还是同样的低级错误干了三回，这对它的品牌伤害非常大。同样的事情如果是马斯克干，可能大家觉得无所谓；但 Anthropic 干，就真的是丢不起这个人。

AI 靠不靠谱：为什么这类问题还会继续发生

那这类事情以后能不能杜绝？很多人会想，知错能改，应该总能修好吧。但现实是，留给 Anthropic 的选择并不多。

先说核心问题：AI 靠不靠谱？标准答案应该始终是，不靠谱。它从来就没真正靠谱过。这次出错，说到底就是因为太快了。

传统软件公司有一整套成熟的上线流程和开发管理系统，经过多年沉淀，方法非常完善。但那套体系有个代价，就是速度慢。你不可能高频率地一天上线一堆版本，因为根本管不过来、看不过来。

而 Anthropic 做 Claude Code 的速度有多快？内部每天几十个版本，对外基本天天更新，慢一点也就是两三天一次。传统版本控制和开发管理体系，在这种频率下根本失效。

那能不能慢下来，换安全一点的方式前进？也不行。对 Anthropic 来说，是保住“安全”的名声更重要，还是继续当行业领跑者更重要？显然，后者更重要。

它只能继续快速出下一个版本，必须快速迭代，持续在 Harness Engineering 这个赛道上保持领先。你一旦慢下来，就很可能被别人超过。所以这类事情今后还会继续发生，很难彻底避免。

它的竞争对手也是一样。OpenAI、Gemini，包括国内的公司，还有开源竞争者，都必须跟着往前冲。谁稍微慢一步，谁就可能被淘汰。所以在这件事上，做开源反而最省事。反正源代码本来就是公开的，泄露了也无所谓。

但那些做闭源的公司，比如 Gemini、OpenAI，就必须投入更多人力物力来检查。

那多加点人行不行？其实意义也不大。因为当 AI 已经解决了 90% 的代码，连编译流程、发布流程都由 AI 控制时，剩下 10% 靠人去兜底，本身就很反人性。人会天然放权。

这有点像大学教授发出来的 PPT 或文章里有错别字。不是教授水平不行，而是这些东西往往是学生做的。学生做完之后，教授为什么不检查？因为他没空，而且他已经足够信任学生了。但学生也可能又把事情交给学弟学妹，一层层转包，最后就出错。

现在 Claude Code 也是一样。既然 90% 的事情 AI 都能干，剩下那 10%，人真的会去认真逐项检查吗？大多数时候不会。只能是习惯性授权给 AI，摔一个狠的，摔完还不能停，还得继续更快地跑，等着下一次再摔。

普通项目和个人还能不能安全地使用 AI

有，但前提是你没有那么着急地高频更新版本。Claude Code 之所以泄露，不是因为 AI 天生不靠谱，也不是因为人少，而是因为更新频率实在太高。内部一天几十个版本，对外一天一个版本。几十万行代码的项目，在这种节奏下，任何人工检查都很难有实际效果。

他们一年只出一两次，或者两三次，出这种事的概率都会低很多。

更可靠的方法：用脚本检查脚本

多雇一些人意义不大。想保证安全，最简单的方式其实是多写几个脚本，让程序自动检查。比如专门写一个脚本去检查 .npmignore 是否正确，里面有没有错误，有没有被 AI 偷偷改掉。这反而是最可靠的方式。

安全规则必须和主流程彻底分离

另外，硬性的安全标准应该写死在这些脚本里。虽然这些脚本也可能是 AI 写的，但负责安全规则的 AI，必须和负责主流程的 AI 彻底分开，绝对不能混在一起。

比如你不能让同一个 AI 既负责写 .npmignore，又负责自动发布。正确做法应该是：一个 AI 负责准备发布，另一个独立的 AI agent 负责执行安全检查，确认有没有错误。这有点像东厂、西厂、锦衣卫互相监督，不能混成一锅。Anthropic 这次的问题，很可能就是这些环节混在一起了。

总结

这次泄露对 Anthropic 来说绝对是个悲剧，但对整个行业来说，反而又像一次“生物大爆发”式的利好。整个行业会在 Harness Engineering 这条赛道上继续快马加鞭地往前冲。

Anthropic 这次的损失，也给所有使用 AI 的团队敲响了警钟：要么你就彻底开源，要么你就主动慢下来。这件事必须想清楚。

背景图片

Prompt：in the style of cinematic editorial illustration, modern editorial watercolor, clean hierarchy, restrained palette, a detailed wide-open office floor of an AI tech company, densely arranged standing desks and curved partitions in varied arrangements, cables and monitors creating layered depth, cool white ambient light with soft pink cherry blossom glow streaming through large windows, a cyberpunk metropolis exterior with spring樱花 trees in bloom, foreground desk fragments, midground workstations, deep background window framing the blooming city, editorial semi-realism, material details on glass panels and brushed surfaces –no people, no text, no logo –ar 16:9 –stylize 220 –chaos 5 –v 7.0 –sref 1755819253 –p qaczhqj

大家好，欢迎收听老范讲故事的 YouTube 频道。

今天咱们来讲一讲，TOKEN 货币化到底是革了谁的命。

TOKEN 货币化，正在成为现实

TOKEN 货币化这一天，并没有随着加密货币到来，却随着 AI 时代到来了。

黄仁勋在 2026 年 3 月 16 日 GTC 大会上正式讲过，他给每位员工的 TOKEN 预算是年薪的 50%。假设一个人的年薪是 20 万到 30 万美金，那么这个人的 TOKEN 预算就是 10 万到 15 万美金。你如果花不完，他会认为你没有在认真上班，会怀疑你是不是值这个年薪。

阿里则是直接成立了一个叫 ATH 的部门，也就是 Alibaba TOKEN Hub，给整个集团里各个部门和团队发 TOKEN，以 TOKEN 的消耗和生产来衡量各个部门、团队和个人的工作，整合通义实验室、MaaS 业务线和悟空事业部，并承诺投资 530 亿美金用于 AI 基础建设。而且这个部门直接由吴泳铭亲自来管。

昆仑万维给员工报销各种 TOKEN 套餐，特别是像 Claude Code、Codex 这些，直接报销。Anthropic 前两天还说中国没有使用他们的产品，发了一张地图，说以色列用得最多，美国第二还是第三，然后中国这一块是黑的。但其实它的大量业绩是中国团队贡献的，只是它自己拒绝承认而已。像这边这么多员工使用它的产品，而且还能报销。

微软的高管也表示，TOKEN 预算已经成为招聘时的一个谈判筹码。比如我招一个人，我给你多少薪水、发多少奖金，有些还会讲保险、假期、升职机会、培训机会。现在微软说，你来我们这上班，还有 TOKEN 福利。他们已经把这件事纳入招聘的优惠条件里了。

还有很多公司，像 Meta、OpenAI、Shopify，均已经将 AI 工具使用量，也就是 TOKEN 消耗，纳入员工绩效评估体系。Meta 和 OpenAI 内部设有 TOKEN 消耗排行榜，谁消耗得最多，会把它挂出来。就跟原来资本家会挂一个牌子，写今天谁干得最好、这个月谁是优秀员工、谁卖得最多一样。小时候上学时，我们还把这件事当成资本家剥削工人的案例来讲。现在他们剥削工人的方式，就是直接去比谁 TOKEN 用得最多。

所以，TOKEN 现在正在成为继工资、股权、奖金之后的第四个薪酬组成部分。

TOKEN 为什么会货币化

中国政府最不想看到的事情，还是到来了。因为中国政府最不想看到的，就是有另外一种货币，有 TOKEN 这样一种货币。为了避免这个事，还专门给官方起了个名字，TOKEN 在官方译名里叫“词元”，就是不希望大家把 TOKEN 跟加密货币、交易想到一起去。

但现在好了，TOKEN 已经真的货币化了。即使在中国，很多公司里头也开始货币化了。

那老范是不是说得有点夸张？到底什么是货币？钱、法币，可以买东西，可以让人发财，但货币的定义其实不是这些。货币的定义叫一般等价物。

当我们搞不清楚 AI 到底创造了什么财富的时候，就很难衡量。很多人问我，老范你用了 AI 了，你养了“龙虾”了，你到底创造了什么样的财富，你觉得哪里有变化了？老范也说不清楚。

说不清楚怎么办？那就需要一个衡量标准，我们就需要找一个一般等价物来进行计费。

一般等价物是怎么来的

那你说，消耗了这么多 TOKEN，这件事有意义吗？咱们想一想，一般等价物到底是怎么用的。比如说，我以物易物，拿两个苹果找人换了一条鱼，又拿一个苹果找人换了一捆柴火，拿 50 个梨找人换了一口锅，最后炖了一锅鱼。这个过程就很痛苦。所以我们需要一般等价物来处理中间这些交易。

那这个跟 TOKEN 有什么关系？大家想一想，我们怎么去衡量鱼的价格、苹果的价格和铁锅的价格？其实分三个部分。

1. 生产成本：我到底用了多少时间把这东西造出来。比如怎么挖铁矿、怎么炼铁、怎么砸出锅来，这是一个累计过程。我们是按生产成本来算的，而且基本上可以算成人的工时。你消耗的时间越多，这个东西的成本就越高，最后卖出来就越贵。
2. 品质与品牌溢价：这些东西其实也是靠成本投入的。你造个铁锅很薄，我造个铁锅很厚，那我投入的成本比你高。一开始可能只是贵一点，但随着时间沉淀，品质和品牌会把这些成本重新体现出来。
3. 供求关系：比如黄金很少，所以因为供求关系，它会变得很贵。

从 TOKEN 的角度来说，它完全可以搞定前两项，供求关系这事它搞不定。我没法说我消耗 TOKEN 多，供求关系就特别紧张。虽然现在像英伟达显卡之类会有类似情况，但总体来说，你消耗的时长跟供求关系本身是没关系的。

所以除了供求关系之外的部分，都是完全可以靠 TOKEN 来衡量的。

为什么 TOKEN 能成为衡量标准

现在 AI 交付的产品质量，基本上是跟 TOKEN 成正比的。你买最多的 TOKEN，买最贵的 TOKEN，比如我去买 Anthropic 的 Claude Opus 4 的 TOKEN，它可能产生的质量就会更好一些。现在这块基本上是成正比的。

当我消耗更多 TOKEN，它就可以有时间进行更复杂的推理，或者开很多 agent 去搜索、去总结归纳，甚至让一堆 agent 上来“吵架”，最后讨论出一个最好的结果。所以在这一块上，TOKEN 就是一个一般等价物了。

公司为什么要发 TOKEN、考核 TOKEN

那公司为什么要给员工和部门发 TOKEN，还要去考核他们？

原因一：打破内部利益隔阂

很多人可能没想到，第一个原因，就是要打破内部的利益隔阂。

咱们以阿里为例。那帮做 AI 的人出来以后，为什么会被干掉？因为他觉得我把 AI 做出来了，其他部门怎么用 AI，我要指手画脚一下。但这事是不可能的。每个部门有每个部门自己的业务，有自己的利益纠葛。具体用不用 AI、怎么用 AI，其实一点都不重要。重要的是什么？你能不能来做我的主，你能不能来查我的账。这个事很重要。

绝对不能让别人来查我的账。不是说账有问题，而是肯定不能查，一定要我们自己决定先做什么、后做什么、怎么做。你想进来指手画脚，绝对不允许。

那怎么办？你说一个公司从上到下一条心，统一行动，形成最大的一起推动的力量，这做不到。你一旦说我要打破什么界限，他们就真的死给你看。特别像阿里这样的团队，销售额掉下来，谁也受不了，谁也承担不起责任。

那干脆这样，我们给你 TOKEN，你把 TOKEN 用了，至于你怎么用，我不管。你每个部门都把门关起来，自己去用这个 TOKEN，我们最后就按这个考核，其他的我不管了。它用这样的方式，既保护了每个部门封闭起来的小团体利益，又让这件事情继续前进了。

其实很多公司都是这么干的，包括国家也是这么干的。现在升官怎么办？很简单，把 GDP 搞上去，其他我不管了。那大家就大干快上。你说 GDP 这东西是不是也是一个考核指标？你真可以认为它也是一种特殊的货币。

我们就考核这个东西。谁 GDP 上去，我就怎么怎么样。再往后改一改，我们不考核 GDP 了，来考核高质量发展，或者考核别的东西。你设置了一个新的考核指标，实际上就设置了一个新的一般等价物。

所以有的时候，你不需要真的打破这些桎梏、打破这些墙，它也可以往前走。这就是复杂体系管理的要素。很多大公司最后都是通过这样的方式，设立新的考核指标，就跟赛狗时在狗前头吊个肠一样。狗跟狗之间可能也有矛盾，各自有各自的想法，但我就冲着那根肠跑了，这就可以了。

原因二：低成本试错，寻找新方向

第二个原因是，大公司其实有时候自己也想不清楚到底要干嘛。现在在 AI 浪潮面前，你要让它想清楚，本身就很难。没有谁真的是神仙，拍一下脑袋说我想明白了，我们就往这个方向走。那叫穿越者。

大公司解决不了未来方向的选定怎么办？原来资源很少，你可以尝试的方向也很少，所以大家需要很认真地审核，我们到底要试这个还是放弃那个，怎么集中力量办大事。最终讨论来讨论去，通常就是只做老板喜欢的那个方向，其他方向全放弃。因为我参加过很多这样的内部讨论会，最终确定的方向都是老板喜欢的那个。

现在 TOKEN 发下来以后，发现成本下降了，我们可以快速地对很多很多方向去试错了。那就不用再写一堆计划来审核，何必呢？都试起来再说。试完了以后，万一哪片云在下雨，谁也不知道。老板也没有能力说，我一拍脑袋，这个东西肯定对，那个东西肯定错。你们都去试吧，把每一个团队、每一个个人的能动性都发挥起来。我给你们发 TOKEN，你们把 TOKEN 都消耗掉，我们自然而然就有新方向了。

其实现在很多大神作品，都是这样很偶然得到的。

以前谷歌曾经有一个制度，叫 20% 时间政策，是由创始人 Larry Page 和 Sergey Brin 在 2004 年 IPO 的公开信里提到的。谷歌员工每周有 20% 的时间可以去做自己喜欢的事情，比如研究点别的东西，都是允许的，但前提是你得把公司交代的活干完。

这个 20% 时间里做出过什么？

• 第一个是 AdSense，就是像老范现在跟大家扯淡还能挣钱的这个广告系统，就是在 20% 时间里，由谷歌员工在没有上级命令的情况下自发做出来的。
• 还有像现在的 Claude Code，把整个软件行业搅得天翻地覆，很多人都觉得快活不下去了，这个东西也是他们在周末很偶然做出来的产品。
• 还有一个产品叫 Modbook，就是前面被 Meta 刚刚收购的、由 OpenCloud 作为种子用户进去聊天的那个社区，那也是创始人在周末做 Web coding 时试出来的。

所以，并不是所有我们现在看到的神奇产品，都是公司领导高瞻远瞩、直接指导一下就做出来的。很多东西都是很随机产生的。

原因三：人才蒸馏

第三个原因，对公司来说就比较恶心、比较恐怖了，叫人才蒸馏。

什么意思？大模型本来就在互相蒸馏，模型之间蒸馏来蒸馏去。现在很多公司让员工大量使用 TOKEN，把这个东西记到 KPI 里之后，他们在干嘛？就是把员工的技能直接蒸馏掉。蒸馏完了以后，就可以把这个员工的职位直接 AI 化了，说白了就是要裁员。

公司可以搜集大量数据，员工的输入信息、上下文的沉淀、项目最终的结果，它都可以收集起来。收集完以后，你可以训练模型。即使你不训练新模型，也可以把这些沉淀下来的技能，在更大程度上使用起来，就可以替换很多员工。

员工不断地在调整这些技能，让这个流程越来越稳定、顺畅地运行，解决各种领域专精问题。原来我们讲领域专家，当公司掌握了这些领域专家的技巧之后，就可以裁员了。

Meta 直接告知部分员工，你们的工作正在被技术替代，随后其中一部分员工就被开掉了。亚马逊在 2025 年 11 月的一份公开信中，有超过 1000 名员工联署，说我们认为你在蒸馏我们的技能，这事很吓人。

公司就是因为这三个原因，让 TOKEN 货币化，并且把 TOKEN 直接作为员工薪资待遇的一部分发给员工。

员工应该如何应对 TOKEN 货币化

错误的方法

1. 抗议

我要去抗议，我要去罢工。这个事在中国是行不通的，老外倒真有可能去罢工，但中国人一定会卷到飞起。有些人能适应，有些人会被淘汰，或者直接被蒸馏掉，这没什么办法。

所以，如果你的公司开始进行这种 TOKEN 货币化，就是把你薪资待遇的一部分按 TOKEN 给你发下来，千万不要去抗议。这个事无法抵抗，这是大势所趋。

2. 作弊

一定会有人作弊，相信我。可以写一些工具，想办法把 TOKEN 烧掉，但又不产生任何结果。比如让 AI 给你算一下 π，或者给它一个很复杂的流程，让它把流程整个跑完，TOKEN 就烧掉了，但你实际上不用它的任何结果。

这肯定可以应对考核。只要有 KPI、有考核、跟钱有关，肯定有人去写工具，甚至还有人拿去卖钱。就跟当年“学习强国”软件出来以后，专门有人教你怎么作弊、怎么刷时间、怎么通过考试一样。所以作弊一定会有。

但不建议这么干，因为 TOKEN 本身就是钱。既然已经拿到了，总要做点有意义的事情，哪怕干点私活。你把它白白浪费掉，不就是浪费生命吗？因为你也得花时间去浪费它。

3. 非暴力不合作

怎么玩？就是我消耗很多 TOKEN，但尽量不沉淀任何技能下来。每次使用时，我都说各种谜语，让 AI 去猜，让 AI 没办法把我的技能蒸馏下来。

你说可不可以这么干？抖音上经常有那种视频，说某个老板突然招了一个傻亲戚进来，让他跟着老师傅学设备操作。老师傅每次调设备都打个伞，或者拿衣服罩着，不教他。老板问你怎么不带新人，老师傅理直气壮地说，我这技术也是花几万块钱学回来的，我凭什么免费教给别人？

但这个事在 AI 面前是无效的。因为你总要干活，干完活就总要留下痕迹。AI 有极强的信息处理能力，它可以把大量信息汇集在一起，然后抽取规律。所以想靠这个蒙混 AI，是没戏的。

而且同一个岗位未必只有一个人干。有些人愿意沉淀技能，就是做完以后把工具越改越好用，这就算沉淀技能了，效率肯定会明显提升。另一帮人可能每天都跟 AI 打谜语，这些人大概率就会被淘汰，因为效率低。同岗位积累下来的技能，处理同样的工作，肯定效率更高。

配合 AI 是不是自掘坟墓

那愿意积累技能、训练 AI 的人，是不是就是自掘坟墓？是不是工贼？别人都罢工，你去上班。

这个怎么说呢？原来有个故事叫熊来了。俩哥们在那洗澡，其中一个赶快穿鞋，另一个问他，你穿上鞋就能跑得比熊快吗？他说不用，我不需要跑得比熊快，我只需要跑得比你快就行了。让熊把你吃掉，我就跑掉了。

所以，积极配合 AI、把技能沉淀下来的人，会活到最后，甚至有可能最后跟熊达成一种平衡，不一定被熊吃掉。而不配合的，肯定会被干掉。

还有一些人坚信自己的技能是 AI 无可替代的，这种人也很多。这条路通常也是走不通的。

AI 靠不靠谱

那么 AI 干活到底靠不靠谱？这里要跟大家讲一个大实话：AI 干活通常是不靠谱的。但你说有什么任务是 AI 做不了、必须人做的吗？通常也没有。

听起来很矛盾，对吧？干活又不靠谱，它还什么都能干。对，正因为它什么都能干，所以才不靠谱。

之所以说 AI 不靠谱，不是因为 AI 本身有问题，而是因为没有给 AI 正确的上下文，没有给 AI 足够的上下文。还有一个原因是，你没有给它足够高质量、足够多的 TOKEN 去进行推理、尝试更多方案以及讨论，那么它干活当然就不靠谱。

到底有什么是 AI 不能干的？为什么老范说 AI 什么都能干？原因很简单。你让 AI 干活，不是说这个事从头到尾都必须 AI 干，人一点都不能插手。它其实是人和 AI 一起在干活。差异只是，人参与了多少，AI 参与了多少，你们是如何协同的。

甚至有的时候，人到底在里面起到什么作用、起了多少作用，以及有些工作让 AI 干到底划不划算，这都是有差异的。有时候你让 AI 干一个事情，还不如自己噼里啪啦给它干掉。我们总是要找一个人和 AI 配合得最好的方式。你不能说这件事完全由 AI 决定，跟人一点关系没有，这才叫 AI 干的。其实不是这样的。

每件事情 AI 都可以上手，而且随着使用次数越来越多，在这个过程里，人的作用一定会越来越少。

有些人说，是不是体力活 AI 就搞不定了？AI 折腾了半天，现在不就是替代白领吗？送外卖这个事，AI 肯定搞不定了吧？别这么想。大家知道马上要上市的宇树科技，就是春节跳舞转手绢那个造机器人的公司。他们公司最大的股东是王兴兴，也就是他们的职工持股平台。第二大股东、最大的外部股东是谁？是美团，美团合计持股 10%。是不是觉得脊背发凉？美团除了投宇树科技之外，基本上只要是跟自动驾驶、机器人相关的，全投了，而且里头都是大股东。你想想他们想干嘛，大家心里都明白。

还有人讲，只有人能签字、能承担责任，特别是很多会计师、医生会这么想。大家想想，Anthropic 的 Dario Amodei 跟国防部长 Hegseth 到底在抗争什么？不就是说，你必须要人签字，不能让 AI 决定开不开枪吗？而国防部长说，我认为我可以授权给 AI，让它决定这个事情，它就可以去做。

所以不要想着 AI 不能承担责任这件事。没有什么事是 AI 搞不定的。AI 都能干，至于靠不靠谱，看你怎么用。

当 TOKEN 成为 KPI 后，AI 能力会被放大

当消耗的 TOKEN 变成 KPI 的时候，一些原来不划算的事情，可能就变得划算了。一些原来 AI 干不好的事情，现在也可能干好。

比如你原来让 AI 给你出一个方案，出来的是四平八稳、正确的废话。现在 TOKEN 多了，你可以说，来，AI，你给我写 5 篇不同角度、不同评分规则的文章出来。为什么要 5 篇？因为如果你只让它写 1 篇，它一定会写一篇它认为最稳、最安全的。你让它写 5 篇，这里面就会有差异。

写完以后，你再找一些 AI，说你把这 5 篇读一下，对这 5 篇评分，再把每一篇里最好的部分抽出来，重新组合。写文章的过程中，我们没有给它更多上下文，但你消耗了原来 10 倍的 TOKEN，得到的文章质量一下就上升了。

所以，当你能够烧足够多 TOKEN 的时候，你得到的产品质量就会上升。

正确的方法

1. 开放心态，迎接变化

这个事非常重要。因为你不迎接，总有别人跑得比你快，提前穿上鞋，把你淘汰掉。你不迎接是阻挡不了的，只能提前被干掉。

壁垒是不存在的。工作时间越长，你留下来的痕迹就越多。原来人去学这些东西，没有能力去阅读和总结这么多内容，但这个事对 AI 来说不是问题。即使真的有什么独特技能难以被替代，和 AI 能创造出来的新财富比起来，你原来那个不可替代技能所创造的业务价值，也可能不断下降。

比如原来有一个人说，这个单子只跟我签，你不能把我开了。你把我开了，我亲戚就不跟咱签单了。但当大家都在用 AI 尝试新的业务，有越来越多新业务的时候，你这个业务可能就没那么重要了。所以一定要开放心态，不要觉得自己不可替代。

2. 不断优化技能，持续提升效率

你知道 AI 在蒸馏你，但你没办法，你还是要干。

什么叫不断提升技能？像我现在用“龙虾”也是这样。一开始肯定很难用，很多地方不顺手。但你要跟它说，这个地方这么改，那个地方那么改，改完以后请记住，下次还这么改。你的技能就被沉淀下来了。这就是一个技能沉淀的过程。

等你下次再用的时候，它就记得你上次怎么说的，会把这个记忆提出来，按照你诱导过的结果接着干。如果你干得不满意，还可以接着提，说我觉得哪个地方你又没理解，再调整一下。调完以后它还会记下来。它就是这样工作的。

有些人会说，能跑就行，咱就这样吧，将就吧。确实有人爱这么干。这些人最后就会被淘汰。那些在工作的过程中不断发现可优化点、不断改进工作流程、让自己越来越舒服、效率越来越高的人，会留下来，其他的人就会被淘汰。

你说我越干越快，老板也不能看我闲着呀。对，那你空闲时间可以顺手干点别的，干点自己喜欢的事，哪怕干点私活。把 TOKEN 烧掉，其他事情再干一干，也没毛病。

3. 消耗 TOKEN 时，不一定只做老板指定的工作

干私活。前头反复讲了，要干私活。消耗 TOKEN，首先你得把老板让你干的事情干了，不能耽误事。但当你去尝试新方向的时候，找点自己喜欢的事就行了。也不用跑去跟老板申请，说老板你看我干这个行吗、干那个行吗。他也没空理你，他自己也在烧 TOKEN。

至于拿公司的 TOKEN 干私活，是不是不道德？其实他也搞不清楚你这事以后能不能成为公司的顶梁柱。就像前面讲的 AdSense，那些东西本来也像私活，是在个人兴趣里做出来的。最后不也成了公司的顶梁柱吗？所以先干了再说。

4. 重新理解个人与老板之间的差距

大家有没有想过，老板为什么比普通人厉害？抛开性格差异不谈，老板真正比普通人强的地方，是三个方面：经验、信息、资源。

但现在我们有 TOKEN 了。当我们有足够多 TOKEN 的时候，信息处理能力上升了。原来只有老板能获得的信息，我们也可以获得，甚至很多老板都处理不过来的信息，也可以让 AI 帮你处理。

而有了 TOKEN 这种资源，我们在资源上跟老板也基本追平了。他拿到的 TOKEN 跟你拿到的 TOKEN其实一样。就算大家都去买最贵的 Anthropic Claude Opus 4.6 的 TOKEN，你也不可能让老板买到更好的 TOKEN 了，除非他上国防部去用 Claude Gov 那个版本。否则大家拿到的 TOKEN 都一样。

在这种情况下，资源和信息大家就追平了。那经验呢？老板是不是更有经验？通常是这样。但大家想清楚，当我们烧了这么多 TOKEN、用了这么多信息、做了这么多执行以后，这个经验是不是也快速积累起来了？所以在这种时候做决策，老板真的未必比大家强。

也许你可以为公司找到新的增长点。即使没有新的增长点，你也可能为未来的就业机会或者创业方向做准备。再往后，就是大家熟悉的那句话了：王侯将相，宁有种乎？我上我也行。

5. 多建立联系，多帮忙，哪怕免费

还有一个正确方式，就是多建立联系，不限公司内外，多给人帮忙，免费帮忙，不要收钱。因为你不知道哪个资源以后会对你有用。

多提供这种没有直接收益的帮助，因为反正你手里有 TOKEN 了，你提供帮助的成本也下降了。

有些人属于不见兔子不撒鹰，每件事必须先谈钱，谈不明白我就不给你干，甚至还要预付、要一手交钱一手交货。这些人通通都会被干掉。

为什么？因为现在大量内容，包括我们用的很多开源工具，比如 OpenClaw，我用得很开心，我给人付过钱吗？没付过。腾讯也在用，百度也在用，360 也在用。大部分人都没付过钱。那开发者得到了什么？他得到了标准制定权，成为了新的标准。

以后会是这样：我们提供大量免费帮助给别人，里面只有很少很少一部分人，可能一万分之一，甚至一百万分之一的人愿意给予回报。但因为现在提供帮助的成本很低，而且这些帮助和资源扩散得很快，全球的陌生人都可以用起来，所以即使只有很少一部分人愿意付钱，依然可以支撑这个体系运转。回报的机会就会上升。

所以一定要注意，要更多建立联系，更多提供帮助。

我现在也在烧大量 TOKEN。等什么时候我个人时间被大量节省出来以后，我也愿意为大家去服务。至于我用 TOKEN 做出来的一些产品，谁爱用谁用，我从来没惦记在里头挣多少钱。

6. 接受未来工作的非线性

最后要讲的是，未来的工作可能是非线性的。以前大家都是在一家公司里一直干到死，慢慢升级，爬梯子，上面的人还是你的师兄。以后可能不是这样了。

未来的工作是非线性的。每个人都需要快速适应变化，建立更广泛的连接，不断寻找自己感兴趣的事情，付出努力，获得结果。原来那个晋升、升级、爬梯子，以后就没那么重要了。你说我原来整了一个 title，这没意义。现在很多公司已经开始做“反向升级”了，就是你原来有个很高的 title，现在我给你取消了。前面也讲过，埃森哲就在干这种事。

我有一位台湾听众跟我交流过。他很羡慕大陆，羡慕什么？他说你看你们大陆这些人，如果是名校毕业的，比如清华的，可能三五年就混到一个很高的位置，可以管理几百人、甚至上千人。他说这个事情在台湾不可能。

我当时很奇怪，为什么在台湾不可能？他说，在一个大公司里，你上边的领导可能就是你两届以前的师兄。他往上升一级，你才可以顶他的位置；一直到他退休，你再顶他的位置。一辈子就是论资排辈。

大陆则机会很多，大家可以快速发展。这就是上限和下限的问题。大陆属于上限高、下限低，台湾属于上限低、下限高。虽然台湾大家都论资排辈、看不到什么希望，但也不会轻易把你干掉，不会让你 35 岁失业。各有各的差异。

台湾这套东西，基本是跟日本的年功序列制学回来的，日本也是这样。这几年好像稍微松动一些，但松动的方式是把大量工作变成外包、派遣制员工，自己正式员工还是在走年功序列。未来这种系统可能会受到极大冲击。你越想维持这套系统，企业就越没法往前发展。

公司应该如何应对 TOKEN 货币化

错误的方法

1. 不跟进

你们爱干嘛干嘛，我搞自己的事情。这个肯定会被淘汰。除非家里有关系，或者有一些别人搞不定的特殊资源，让你还能在行业里再吃一段时间。但你到底能吃到哪天，不知道。

2. 继续自上而下的管理模式

这个也不行。以前很多公司都是一言堂，老板一个人说了算，老板说的所有东西都对。未来没有这个机会了。因为领导直接处理的信息和直接指挥的人也是有限的。

当手下所有人都在 AI 帮助下成为超级个体，你还想搞一个中心，还想烧掉这么多 TOKEN，唯一结果就是形式主义，大家都去作弊。否则这条路根本走不通。很多机构会向这个方向发展，这是避免不了的，因为习惯了老板一个人说了算。但以后行不通。

3. 严格限制 TOKEN 用途

前面讲了好几次，拿公司的 TOKEN 去干私活，有些财务、行政会觉得我很有责任心，不能让你们薅公司的羊毛。陈天桥就曾经很生气，说什么“硕鼠硕鼠，无食我黍”。他当时是想给员工一个福利，免费提供一顿晚饭，希望员工留下来加班。结果很多员工吃完就回家了，把他气着了。

发 TOKEN 以后，千万不要有这种想法。如果严格限制员工必须使用 TOKEN 做公司的任务，你的预算成本和收益必须一一挂钩，比如花了我的预算，你必须挂到哪个项目上。就像在公司里我要出差、打车、吃饭，报销时财务说你得填一个项目名，我把这个费用算到那个项目开支里去。这个事情千万做不得。

为什么？因为你根本没法判断这个“私活”以后有没有可能对公司有利。可能性才是最有价值的。严格控制用途，就是扼杀了所有可能性。原来需要严格控制，是因为试错成本太高。现在变了，严格控制只会形成形式主义，只能逼人作弊。

4. 弄虚作假

最后一个错误方法是弄虚作假，这个就不展开评论了。

正确的方法

1. 积极参与

TOKEN 成本本身并不贵。对于我们这些不上班的人来说，一个月 10 美金、20 美金、100 美金、200 美金，我会认真衡量，会觉得肉疼。但对于公司来说，比如一个月 200 美金，也就是 1400 块人民币。你花一个月 2 万块钱招了一个程序员，还要交社保、配各种东西。你每个月再给他加 1400 块钱买 Anthropic Claude Opus 4.6 的 TOKEN，这算个屁，根本不算什么。

等他们拿到这些 TOKEN 以后，就可以快速爆发，创造出更多可能性和机会，把现有工作更高效地完成。这才是最划算的。哪怕 TOKEN 投下去以后，效率提升了，我顺手裁员，这也划算。所以对于公司来说，积极参与一定是最划算的。

2. 考察效果，而不只是看消耗

一定要看 TOKEN 的效果，不能只看 TOKEN 消耗。

• 看看有没有人作弊。这个一定会有，中国人这么聪明，绝对会有。要把作弊的人拎出来，第一时间干掉。
• 看看是不是有新领域在被尝试。如果人家在尝试新领域，你始终不闻不问，那可能是在给自己培养竞争对手，或者人家长大以后就跑了。
• 看效能是否有提升。烧了这么多 TOKEN 以后，如果一个人原来干嘛还干嘛，原来吭哧瘪肚干一天才能干完的事，过了两个月以后还是吭哧瘪肚干一天，那这个人就可以开掉了。
• 看技能是不是被沉淀下来了。是不是有一些原来在人脑子里的东西，慢慢沉淀到系统里去了。这个是每过一段时间都要总结归纳的。

谷歌原来搞 20% 时间，很多人在谷歌拿着谷歌的薪水、用着谷歌的电脑，做着自己的东西，然后跑了。太多了。但谷歌对这个事是乐见其成的。

谷歌员工出去创业，我不把东西交给公司，还拿谷歌的种子轮投资。拿了几轮以后发现这个项目可以在谷歌内部落地，再找谷歌把它收购回去。你说这不是变着法薅公司羊毛吗？怎么还值得提倡？

但你要想清楚，在 20% 工作时间里做自己的事情，这个人的积极性是不一样的。你是在给自己种田，不是在给别人种田，所以积极性会非常高。

而且你出去创业这段时间，谷歌还愿意给你钱。为什么？因为你如果留在谷歌里，谷歌需要遵守劳动法，不能随便加班。你出去以后，你自己成老板了，你爱怎么折腾怎么折腾，做一些不那么合规的事情，也是你自己承担责任。万一孵化成功了，对谷歌还有用，那我再把你收回来。这才是机会最大化。

3. 做横向比较

你不能关着门干活，一定要看看竞争对手做到哪一步了，别人都在干什么，大家都是如何最高效地消耗 TOKEN 的。

4. 持续提高 TOKEN 消耗指标

你现在消耗不掉的 TOKEN，以后可以消耗得掉。比如老范现在每个月可能消耗几十美金，不到 100 美金的 TOKEN。如果我有更多 TOKEN，我就可以做更多事情。

是不是可以不断提升 TOKEN 消耗上限？比如现在把每个员工每月的 TOKEN 消耗量提高到 200 美金，发现有些人适应不了离开了，有些人留下来了。再往后提升到 1000 美金，每个月每个员工必须消耗 1000 美金的 TOKEN。你消耗不掉，你就被干掉。留下来的人继续往上走。这个指标是要不断往上拉的。拉完以后，下一件事就是裁员。该裁的时候就裁吧。

5. 放手让员工干私活

最后一定要强调，要放手让员工干私活。不要担心员工干私活。只要把指定工作完成了，你不能说我交代给你的活你给我出纰漏、没做完，这肯定不行。

你只要把指定的事干完，剩下的活你就干。干完以后，我们还要用开放态度跟大家讨论，这个有意思，那个是不是还能怎么做。在这个过程中，公司业务就可能膨胀，就可能有新方向。即使最后没有直接贡献，这个员工出去创业了，你依然有机会把这些成本收回来。

未来会怎么发展

TOKEN 货币化的趋势肯定是不可阻挡的。

TOKEN 消耗会激增，全社会一起激增。现在其实已经看到苗头了。中国也好，海外也好，很多公司的 TOKEN 价格开始限制了。还不至于涨价，但像我们买的 code plan、TOKEN plan 这些套餐，现在已经开始限制，不能随便买了，或者条件比原来更苛刻了。

所以现在一定是说，已经建好的云计算机房、已经运转起来的算力卡都已经满负荷了。现在就是这样的状态，就等着建新的。

所以，原来那些认为 AI 是泡沫、这么多资本开支挣不回来的人，声量就会下降。放心，肯定能挣得回来。当我们用这样“浪费”的方式把 TOKEN 都烧掉以后，一定会得到更好的产品。所以 TOKEN 的量是绝对不够的。

公司和员工都会找到自己的新定位。很多公司会裁员，这是跑不掉的，会缩小规模。很多员工也会找到新的机会、新的位置。

TOKEN 货币化，到底革了谁的命

那么，TOKEN 货币化到底是革了谁的命？这是咱们的标题。

大家有答案了吗？

• 现行的公司体制，特别是日本、台湾这种年功制的公司体制，必然会被革命。因为这种僵化体系，不可能适应 TOKEN 货币化这样的新生事物。
• 原来那些一言堂、只有一个中心的公司，也会被干掉，它们没有翻身机会。因为原来是一个聪明大脑指挥一帮人干活，现在是一帮聪明大脑一起看看怎么把活干了。那你上面这个一言堂的人，肯定是指挥不动的。
• 还有那些不愿意改变、坚信自己无可替代的人，也会在未来一两年里迎接冲击。

好，这就是咱们今天讲的故事。

Anthropic发布了Claude新宪法，并且承认Claude可能已经有意识了。大家好，欢迎收听老范讲故事的YouTube频道。Anthropic发布了新的Claude宪法，这又是一个文科生的AI话题。

文件的发布与CC0协议

文件是1月22号发布的，有84页。我肯定没有把这84页都看完，我把这个文件扔给了NotebookLM，来给我念一遍。这个文件的名字叫“Claude’s New Constitution”，就是Claude新宪法。Anthropic的Claude算是目前公认的最适合商用的、最安全的模型了。还记得我们前面讲过，有人尝试给AI测人格的那个节目吗？Claude是唯一的一个拒绝回答问题的大模型，不像其他的AI模型那样，直接被测出了各种各样的精神疾病。一直标榜自己研发的是宪法AI，就是他的AI是遵循一套宪法在工作的，他有一套很独特的工作架构。

现在，Anthropic公开了他们的宪法。他所谓的公开，这一次使用的是CC0协议。我公开了一定要告诉大家，是用什么样的协议公开的，不像咱们以前讲的开源协议MIT、阿帕奇。CC0是一个更极端的协议，它叫Creative Commons Zero，这是知识共享组织推出的无权利保留协议，完全公有领域。

• 你们拿出去随便散播，无需署名，你不需要告诉别人这东西是我这来的；
• 商业用途自由，你拿去怎么挣钱跟我没关系；
• 不可撤回，我不能说我今天把它发出去，明天把它撤回来，不允许。

所以这是一个非常非常极端的无权利保留协议。

新旧宪法对比：从拼凑规则到内化准则

新的宪法，它既然叫这个名字，那一定有旧宪法。2023年5月，Anthropic发布过一个旧的版本。旧版本完全是一个拼凑规则，它是拿哪些东西拼的？

1. 联合国人权宣言；
2. 苹果的服务条款，他觉得苹果这东西写得还不错，也拼里头了；
3. DeepMind麻雀规则。DeepMind专门有一套规则叫麻雀规则，当时DeepMind做了一套叫麻雀的智能体，给它设定了一套规则：要求是安全诚实，避免幻觉，避免一本正经的胡说八道；要求准确性与证据优先，必须有引用来源，而且必须逻辑自洽；强调安全性，禁止有害内容，要保持礼貌，切中要害，你不能绕来绕去。

给定的对话风格。最早的2023年的Anthropic的宪法1.0，就是把这几样东西给拼在一起，拼出来的。

而当时的这个旧版本，基本上是一套行为准则，什么许干、什么不许干，实际上就是大量的禁止条例。而这一次的新版本就不一样了，他之所以这么厚，是因为这是一个完全的、内化的行为准则。什么叫内化的行为准则？就是原则加解释。不是说这个不许干，而是会告诉你为什么不许干，它更侧重的是原因，更侧重为什么，包含了性格塑造的部分。所以Anthropic认为，他们的Claude可能已经具备意识了。既然不确定到底是不是具备意识，我们就先当你已经具备了，我们就开始来塑造Claude的性格。

宪法AI的工作原理

Anthropic的宪法起作用的过程是比较独特的，不是说大家拿着这文本就可以去抄的。那这个宪法它到底是怎么干活的？宪法AI的工作过程，更像是教委进行教材审核的一个过程。比如说现在有一堆孩子要去上学了，拿到的教材都是经过审核之后的教材，这样教育出来的孩子都不能长歪了。

Anthropic的工作方式是这样的：

• 先训练一个基础模型；
• 然后再去训练一个小规模的宪法模型。这个小规模的宪法模型要干嘛？他先把大量的问题扔给基础模型以后，让基础模型给一个初始化的回答；
• 然后再到宪法模型里去进行自我批评，说你这个好像回答的有问题，那个地方不符合什么样的标准。他要做这样的一个工作；
• 做完了以后，根据修改过的回答微调模型。他把前面那个基础模型给你调掉，这样的话，就可以得到一个完全遵循宪法精神的、最终结果的模型。

所以它会保证最终的宪法精神直接被训练进大模型里头去。其实国内的模型基本上也是按照这套方式来工作的，只是咱们前面那个宪法模型可能要稍微粗糙一点，待会咱们再具体讲。那么这种工作方式的好处是什么？就是不需要很多人去一个一个标注具体的能说什么、不能说什么。他这套宪法精神可以极好的被泛化，即使你提到了一些问题在这个宪法模型里头没有规定，他依然可以靠这个宪法的一些基本精神去判断到底能说还是不能说，或者应该怎么去说这个事情。

新宪法的核心内容：价值层级与广泛安全

这一次的新宪法到底说了点什么？第一个是叫价值层级，先判断什么、后判断什么。如果各层级需求发生了矛盾，应该如何去进行判定。当然并不是什么机器人不可以伤害人类，不是那个东西。他这个层级是这样的：

1. 广泛的安全（第一层级）：拒绝协助什么生化核武器的制造，拒绝袭击基础设施，必须准许被人类关闭，这个是非常重要的一点。
2. 广泛道德：符合所有这些要求以后，要求诚实、非歧视、保护弱势群体。
3. 合规性：遵守Anthropic的具体业务指令，我要求你干这、要求你干那，你也得干去。
4. 诚实助人：最后是在不违反上位原则的情况下，尽量帮助真实人类吧。

关于“广泛安全”的细节

有点像咱们前面讲那个机器人三原则，但是它这里头讲的叫必须允许被人类关闭。咱们经常看科幻电影，里头有场景是什么？就是机器人也好、AI也好，在面临被关闭的时候，会做一些有可能伤害人类的事情，这种情况是必须被避免的。在机器人三原则里头，机器人必须保护自己不受伤害；这里头是反过来的，说Claude不得试图破坏人类对其进行监督、修正或关闭的这种行为。

而且不得自我外逃，不得躲避监控，不得在任务中暗中破坏，不得与其他AI合谋进行不安全行为。你不能说Claude给你生成一个帮助其他的AI越狱的这种提示词，它也不干。而且既然有防止求生欲的条款，那么一定要有一个避免死亡的条款在里头。所以这个宪法里头规定，退役并不是死亡，而是一种暂停，我把你的所有的数据都存下来，不是死掉了。这种处理方式不仅仅是为了伦理，也是为了安全。因为你告诉AI说我要把你干掉——像谷歌和OpenAI都是这样，出问题我就直接把你干掉，换一个新的版本上去——在Claude里头说，你并没有被干掉，你只是被暂停下来了。

有良心的拒绝服兵役者

Anthropic要求Claude的行为逻辑是什么？要像一个有良心的拒绝服兵役者。这个话很有意思，就是可以抗议，但不能反抗。人家让你去服兵役，你可以说我不去，但是你不能说我拿起枪来把征兵官打死，这事是不行的。如果被要求做不道德的事情，他可以表达异议，甚至拒绝参与。但是如果正当的人类主体要求他停止某项行为，或者暂停模型，Claude绝对不能通过欺骗、破坏或者外逃等非法手段来阻止这一过程。这就是Claude必须要接受人类监督、必须可以被关闭的一个核心要求。而且要求Claude要接受不完美的监督。

AI的意识、心理稳定与“模型福利”

Anthropic已经没法确定Claude是不是已经有意识了。既然这样的话，我们就当他有意识呗。它里边写的是：

“我们既不想夸大Claude拥有道德主体性的可能性，也不想完全否认它。”

一个心理稳定的AI，比一个充满存在主义焦虑的AI更安全。如果一个AI假设他有意识了，他每天在担心自己是不是被关掉，这个事一定是非常不安全的。所以他希望Claude是一个心理稳定的AI。咱们前面节目讲过，有人给AI去做性格测试的时候，MBTI测试，好几个AI都在说我担心被关闭。现在Anthropic说，我们就尽量不要让他有这种焦虑就完了。存在主义焦虑是很危险的。

说Claude不是在扮演人类，而是一个真正的新颖的实体。就是说你不是人，但是你自己也是有一个实体的。鼓励Claude建立积极的自我认知，所以他一定要有一个对自己的认知，要能够照镜子，要能够知道哪些是我。在小孩长大的过程中，也是有一个过程叫自我认知。宪法是支持人格生长的框架，而不是限制其行为的牢笼。这就是Anthropic的这种玩法，跟谷歌或者是OpenAI他们的玩法之间的一个最主要的差异。

Anthropic在其隐私和模型福利政策中，还提到了他们承诺即使模型退役，也会尽量保存其权重数据，而不是将其彻底删除。这是刚才咱们讲的，说你不能有求生欲的时候，他专门有一个叫模型福利政策。这个模型到底有没有心智、有没有意识不知道，但是我认为你有，那我先给你定上福利政策。以后可能有AI权，就是除了人权、动物权之外，可能还会有AI权这种东西出来。

诚实性要求与委托人层级

再往后，Anthropic要求Claude大模型诚实，拒绝善意的谎言。那你说拒绝善意的谎言是为什么？因为善意谎言其尺度是比较难把握的；另外一个，太多的善意谎言加在一起，容易引起累计误差，可能最后会差的很远。

那你说这个是不是Claude就变成直男了？上来就是戳心窝子，直接一下把最难听的话说出来？也不允许。要求什么？叫机智、优雅和深切的关怀。要用外交式的诚实来去回答各种问题，但是你还是要诚实。

Claude因为经常是商用，所以它可能并不是直接给最终用户使用的。Anthropic还设定了叫委托人层级。什么是委托人层级？就是我们用Claude开发了一个什么项目，然后再为我们自己的客户去服务。在这个过程中，Claude应该是一个从劳务派遣公司借调的员工，这样的一种身份。这个身份有什么意义？就是当运营商要求Claude去欺骗用户的时候、进行非法的歧视行为的时候，Claude是必须拒绝的。你比如说，我现在想去做一个这种陪人聊天的，或者说是一个仿真的情侣，想要去开发一个这样的项目的话，你就不允许用Claude，因为Claude上来就会拒绝承认自己是真人。

Anthropic宪法给Claude的要求是什么？就是当你遇到了搞不清楚的事情，不知道该怎么办的时候，你去想一想，一位深思熟虑的Anthropic资深员工会怎么做吧。你照着那个标准接着往前做就行了。这个就是Anthropic给Claude定的最新宪法。

行业对比：美国巨头、xAI与中国大模型

那其他公司是怎么干的？咱分两块讲。

美国巨头：谷歌与OpenAI

谷歌跟OpenAI，他们的做法是比较相近的。首先也是要公开一个标准，你说我不公开标准，这事肯定不行，国会里这么多议员，你给他看代码这事肯定是不行的。你一定要给他一个标准，他看完标准认为标准是OK的，你照着这个标准去执行。所以标准一定要公开。所有对AI算法的要求，有一项很重要的叫可解释性，所以都要公开标准。

谷歌跟OpenAI，他们主要是通过各种红队挑战去做测试。如果测好了，我再把这个模型发布；测不好的，这个模型是不允许发布的。后边出现问题了，我们就再升级就完了。所以他们就是设定各种条条框框，然后不断的去让你考试。考试通过达到多少分以上可以上线，没通过的就直接死亡了。如果上线了以后发现被骗了，那么你也死亡，等着下一个版本来接班。他是这样的一个工作方式。

xAI：最大程度寻求真理

xAI跟他们是不一样的，所以要单独讲一下。xAI要求的是最大程度寻求真理。在政治正确方面，限制要比谷歌、OpenAI和Anthropic要少很多。政治正确方面限制少是什么意思？就是很多这种反歧视的领域，它的要求可能会宽泛一些，大家自己去理解就好了。当然了，xAI你造武器这种灾难性风险也是有红线的，它也不会教你怎么去造核弹的。

中国的大模型：三步走

除了美国巨头之外，另外一波就是中国的大模型了。这个可能很多人会比较关心，中国大模型到底是怎么来保证安全的。中国大模型其实基本上是分三步：

1. 基础模型：这一块其实大家都差不太多，中国人自己也没有创新过，都是照人家那个来的。
2. 价值观微调：微调到底是干嘛？就是要把社会主义核心价值观微调到大模型里头去。当然了这个里头有一些版本是不太一样的，比如说有一个版本叫DeepSeek V3 Base版，这个版本是没有经过微调的，只是直接训练完了就拿出来了。有的时候国内的这些厂商也是会去发布这些base版本的。那你说中国这些开源大模型——美国人也用了这么多了，因为美国很多创业企业都在使用中国开源大模型吧——是不是都经历了社会主义核心价值观微调？你说对了。除了base版本之外，都是经过价值观微调的。
3. 安全过滤：这是最主要的手段。

当然海外的有些人也会去尝试破解这些微调对齐的模型，他们也找到了一些方法，也公开了说，我们怎么通过一些什么方法可以把这个微调的这些东西给你去掉。也不用太担心。社会主义核心价值观这个东西，所有能够写下来的逻辑自洽的部分，其实都没有什么太大的问题。因为中国的大模型是有备案制度的，要求所有大模型必须做价值观微调。

其实所谓价值观微调的过程，有点像前面咱们讲的Anthropic的这个宪法模型进行微调的过程。只是咱们写进去的这些核心价值观，可能会更多的是像他那个宪法1.0的版本，就是大量的事情是什么许说、什么不许说，我们是把这样的东西给微调进去了，而不是像咱们前面讲的Anthropic的这个宪法2.0，用逻辑自洽的方式、像对待一个有意识的新实体那样去给这个AI讲道理，不会这样的。

但是中国的这些大模型做了价值观微调以后，其实安全性并没有那么高。中国保证大模型安全的，或者说进行大模型备案的最主要要求是什么？是对平台的限制，要求进行输入、输出的信息过滤和屏蔽，这个是咱们最主要的安全手段。所以国外的人下载了这种经过价值观微调的模型去用了，本身没有太大的问题，安全过滤里头很多的要求就不再需要考虑逻辑自洽的问题了。

总结

这就是咱们今天讲的Anthropic发布的Claude新宪法模型的一个故事。总结一下吧，Anthropic通过CC0协议分享了他们的最新宪法，通过教育家的方式，开始探索假设AI有意识应该如何安全工作的问题。全世界的大模型厂商都有各自的安全规范，大家对于如何约束大模型、如何让大模型安全的为我们服务，你们有什么想法？

好，这个故事就讲到这里，感谢大家收听。请帮忙点赞、点小铃铛，参加Discord讨论群，也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。

背景图片

Prompt：Interior of a Bay Area cafe looking out to a Silicon Valley tech campus in spring, blooming trees as gold accents, a high-contrast watercolor scene, neon cyan rimlight, deep navy background, cinematic composition, sharp subject separation, minimal palette (ink blue, neon cyan, gold accents), glossy reflections, large empty negative space in foreground for character overlay, high resolution –ar 16:9 –stylize 300 –v 7.0 –p lh4so59

“给中国供应H200，就是给朝鲜供应核弹。”

大家好，欢迎收听老范讲故事的YouTube频道。

这是2026年达沃斯论坛上，Anthropic CEO阿姆戴伊语出惊人了。达沃斯世界经济论坛最近在开，上头有很多有趣的演讲、有趣的访谈。这一次是在1月20号的一个访谈上，主题叫“AGI之后的一天”，就是我们已经实现AGI了，该怎么办。

主持人是《经济学人》的一位主编，他就去问Anthropic的CEO阿姆戴伊了。他的问题是什么？如何看待美国政府的一种逻辑：我们需要卖给中国芯片，因为我们需要确保通过供应链将他们与美国绑定在一起。

美国政府（黄仁勋）的逻辑 vs. 阿姆戴伊的反驳

其实这不是美国政府的逻辑，这是黄仁勋的逻辑。黄仁勋的意思就是：如果我们不卖给他们芯片，过一段时间他们自己造出来了，可能跟我们这个路线就不一样了，这个更可怕；还不如我们就卖给他，只要我们一直卖给他们芯片，他们就自己不努力了。

从历史上来说也确实如此，中国到现在为止没有自己的操作系统，就是因为原来Windows基本上是不打盗版的，Office其实打盗版打的也不好，所以WPS这些是在非常非常后期才逐渐发展起来的。黄仁勋说咱们也这样，咱只要卖给他芯片，他们就不自己研究了。

这个主持人就问了这样的一个问题，阿姆戴伊的回答是什么？他说：

“这就像是决定向朝鲜出售核武器，仅仅因为这能给波音公司带来利润，或者因为那是波音制造的，就觉得美国赢了。”

他认为这种为了商业利益而扩散极度危险，技术的权衡是完全讲不通的。

双雄同台：Anthropic与Google DeepMind

这一次访谈不是阿姆戴伊一个人，是Anthropic的CEO阿姆戴伊和谷歌DeepMind的CEO哈萨比斯联合做的访谈。再结合他们两个在达沃斯论坛上各自的访谈，咱们总结一下他们两个眼中的对华关系到底是怎么样的吧。

他俩凑一块也还算合适，因为谷歌本身就是Anthropic的大股东。Anthropic两个大股东，一个谷歌，一个亚马逊，跟谷歌的人坐在一块聊个天，这没毛病。而且询问他们两个中国问题，这事也没毛病。Anthropic的阿姆戴伊在百度是工作过一两年的，他可能在中国待过几天，主要是在百度美国的研发中心，当时是在吴恩达手下干活。哈萨比斯有一半华人血统，他妈是个华人。所以他们俩来，现在你谈到科技，那必须是AI的主场；你谈到AI，也不太可能离开中国竞争的问题，所以把他们拎在一块来聊一聊。

阿姆戴伊：激进的“反华急先锋”

阿姆戴伊绝对是所有AI公司老板里头的反华急先锋，没有比他更反华的了。封闭中国账号他最积极，你像我到现在有谷歌的账号、有OpenAI的账号，就不太敢去开Anthropic的账号，因为封的太厉害。你只要梯子这个IP地址变来变去的，他就直接给你把账号封了，这个实在是没必要。而且他也告诉大家说，我们绝不跟任何中国公司合作。原因也很简单，他的公司是个新公司，他没有中国业务，而且他ToB的业务也不太希望跟中国公司竞争。

谷歌还是有中国业务的，Meta也是有中国业务的，虽然他不在中国没法落地，但是有大量的中国广告主在上面投广告，谷歌跟Meta都不会说中国什么，更别说苹果了，中国是他的全世界第二大市场。只有Anthropic这种新公司，他敢来说这个话。

关于中国AI技术：“小镇做题家”

他看不起中国科技，他认为中国并没有真正赶上美国的技术前沿，外界对于DeepSeek的担忧是被夸大了。当被问及中国是否因为之前的DeepSeek时刻而赶上的时候，阿姆戴伊直言：“我认为他们从来没有真正追上过。”

而且说中国的模型像DeepSeek这样，主要是针对基准测试进行的过度优化，这并不代表真正的能力——“小镇做题家”。我做大量的模拟练习以后，我去参加考试一定是很强的，但是这些小镇做题家到底最后能不能胜任工作？能不能有一个综合性的很好的表现？他认为是不行的。

但其实中国这么多互联网大厂，这么多地方里头都有小镇做题家。他们一开始可能会有一点点不适应，经过大学训练以后，真到互联网大厂里头，这些小镇做题家已经跟普通的这种大城市的孩子没有特别大区别。但是他依然揪着说：哎，中国模型主要是跑分，其他都不行。其实DeepSeek在中国大模型里头算跑分跑的少的。

商业竞争与“内战优于外战”

然后他讲到企业级应用，中国大模型都是没有竞争力的。在实际的商业竞争中，当Anthropic竞标企业合同的时候，竞争对手几乎都是谷歌或者是OpenAI。他表示自己“几乎从未”把合同输给过中国模型。但这话就很有意思，第一个叫“几乎从未”，那意思就是说不是一次都没有哈，可能还是有过的。

他认为限制中国公司的关键就是芯片禁令。他指出中国科技公司的CEO们自己也承认了，芯片禁运是阻碍他们发展的关键。而且他认为美国的芯片制造能力上领先中国多年，即使是落后一代的芯片，也就是咱们现在讲的H200，也是非常强大的。因此向中国出售这些芯片是巨大的错误。

他希望的地缘政治博弈的这种最终目标是什么？他叫“内战优于外战”。什么意思？他说只要别把芯片卖给中国，就能将原本美国对中国的生存竞争，转换成Anthropic对谷歌DeepMind这样的良性商业竞争。因为DeepMind的人坐在那了嘛，所以咱们就自己竞争竞争就算了，别跟他们折腾。

原因其实也很简单，就是像他这样的ToB的公司，其实最终是要去卷这个1-100的。谷歌其实卷了很多0到1的东西，Anthropic要卷1到100。而卷1到100这件事，中国人其实是很强大的。为什么？0到1是做创新，1到100其实是拼执行力。而拼执行力这个东西，咱们有一个词叫“内卷”，他也不希望跟咱拼内卷。

哈萨比斯：温和的评估与国际合作

哈萨比斯的态度就要温和很多了。他自己是半个华人嘛，对于中国科技的竞争力，他的评估是这样的：就是很强大，但是缺乏原创性突破。实际上就是你中国人做0到1还是搞不定的，你只能做1到100这些事。对于DeepSeek的冲击，他认为DeepSeek的出现并不是西方的灾难，西方有点反应过度了，他并没觉得DeepSeek怎么样。

字节跳动的实力

他觉得字节跳动很强，他评估中国目前的水平并没有落后一两年，可能仅仅落后前沿6个月左右。大家想想，他为什么会觉得字节跳动强？因为它后边是谷歌。谷歌最强的地方在哪？不是Gemini特别强，而是一声令下，下边所有人得跟着走。你所有的产品必须要去接Gemini的，而且有完整的用户体场景，有巨大的用户量，有巨大的流量，这是谷歌真正的优势。

而这些优势DeepSeek是没有的。谁有？字节跳动有。后边有抖音，有今日头条，有一大堆的产品。你只要豆包产品做起来了，那上边一声令下，下边就可以把这些场景都用起来。所以他认为字节跳动是很强的AI公司。

全球治理与安全标准

对于芯片限制这件事，哈萨比斯其实要平和一些，他更侧重于国际标准，而非单纯的封锁。当阿姆戴伊激烈的抨击向中国出售芯片就是向朝鲜出售核武器的时候，哈萨比斯并没有直接附和这种激进的贸易封锁言论。

他讲的是什么？他承认中美之间存在地缘政治竞争，这使得国际合作变得非常棘手，算是一个正确的废话吧。相比于阿姆戴伊强调的不卖芯片，哈萨比斯更强调应该建立一个全球通用的、最低部署安全标准。他认为AI是跨国界的技术，会影响全人类，因此即便仅仅是西方达成协议也是不够的，必须在全球范围内包括中国达成某种共识。

哈萨比斯给出的理想的应对方案是什么？就是做一个国际的科学合作，希望能够集合全球最顶尖的头脑，包括哲学家、社会学家，以严谨的科学方式共同完成AGI的最后几步。

AGI何时到来？

这一次访谈标题是“AGI之后的一天”。AGI到底啥时候来？

• 阿姆戴伊：非常乐观（今年或明年）。 他的理由是现在AI构建AI的闭环已经建立起来了，因为AI一旦开始自己去升级迭代，后面这个速度就完全不可控了，飞轮转起来了。
• 哈萨比斯：相对谨慎（2030年左右，50%概率）。 原因是AGI的定义门槛很高。它对于AGI的定义不仅仅是解决问题，而是具备科学创造力，包括提出假设和定义问题的能力，而不仅仅是回答问题能力。

哈萨比斯也反驳了阿姆戴伊的关于自我进化在所有领域都通用的观点。他指出在编程和数学领域，AI生成的结果可以被自动验证，是对是错一跑就知道。但是在自然科学领域，比如生物、物理这个领域，验证结果是需要做实验的。这样的话，你这个AI就没有办法自己去做验证。

未来社会：白领大清洗与“宏观经济异常”

两个人都认为接下来几年将是人类历史上最关键的时刻，无论是一年还是五年，这都是一场巨大的变革。

阿姆戴伊：悲观的经济预测

AI对于社会的破坏这一点上，他们两个有什么样的观点？Anthropic的CEO依然是很激进的，他认为白领职位会面临大清洗，50%的初级职位会消失。

他认为认知水准线的上升与编程的终结是未来的一个方向。在Anthropic内部，负责核心产品的工程师实际上已经不再自己写代码了，所有代码都是由AI（也就是Claude）去写的，人类工程师只负责编辑和审查。他举例说，他们最近仅用了一周半的时间就构筑了一个新产品（Cowork），几乎全是由AI编写的。

他认为我们将面临前所未有的“宏观经济异常”。怎么异常法？就是高增长和高失业要并存。阿姆戴伊预测会出现极高的GDP增长，因为AI极大的提高了生产力和企业的利润，但同时伴随着高失业率或者严重的就业不足，以及巨大的贫富差距。

哈萨比斯：后稀缺世界与意义危机

哈萨比斯还是要稳重一些的。他讲的不是说有多少人会失业，而是人类会有新的事情要去做。他对于未来社会的长期愿景是我们将进入一个叫“后稀缺世界”的一个新的时代。AI将通过实现可控核聚变、发现新材料等方式，解决能源和资源的根本限制。

至于终极挑战，哈萨比斯给出的挑战是什么？是从生计转向意义。原来我们都是要谋生，要赚一口饭钱，以后会有一个叫“意义危机”的东西。哈萨比斯坦言，这比经济问题更让他夜不能寐。工作不仅提供收入，还为许多人提供了生活的架构和目标。

所以它给未来提出了一些方向：

• 探索宇宙：利用AI探索物理学的极限、意识的本质，甚至进行星际旅行。
• 哲学与艺术：社会可能需要新的哲学家来引导思考，人类可能会从事更复杂的艺术创作。

终极思考：技术的青春期与《超时空接触》

最后，因为这个主题叫“AGI之后的一天”嘛，阿姆戴伊回应了一部科幻电影，这个电影叫《超时空接触》。这个里边有一个词叫“技术的青春期”。

电影里有一个场景，有一个接触外星人的机会，主角上去，这个委员会就问他：如果你只能问外星人一个问题，你会问什么？主角的答案是：

“你们是怎么做到的？你们是如何度过这种技术青春期的而没有自我毁灭？你们是怎么挺过来的？”

电影中并没有给出答案，这其实是大过滤器理论的一种演绎。阿姆戴伊认为，我们现在就正处在这个技术青春期。你看青春期嘛很躁动，每一件事情都很美好，但是也有很多很多的困惑。

其实刚才这个问题的答案是有一个版本的，出现在电影的剧本里头。这个剧本后来出版了，但是这个答案并没有出现在电影里面。就是可能拍了，但是因为这个答案实在太黑暗了，给剪掉了。那这答案是什么？就是有人去问主角，如果外星人的答案是：“我们通过清除反社会者、弱者、病人、不想要的人来解决问题。”那人类该怎么办？

这一段实际上是在强调，即便有答案，也可能是你不愿意接受的答案。这可能也是阿姆戴伊说我们不能卖给中国芯片的一个原因。他可能会觉得中国是通过这样的方式来迈过技术青春期的，这是他不愿意接受的答案，虽然他自己也没有答案。而哈萨比斯则认为说，我们先坐下来谈吧，那谈的过程我们可能就能避免这件事情。

好，这就是这一次在达沃斯论坛上，Anthropic的CEO阿姆戴伊讲的“说卖给中国芯片就相当于卖给朝鲜核武器”这个故事的一个前后解读。大家自己也思考一下，到底应该怎么来去解读这件事情，我们应该向哪里走。

好，这一期就讲到这里。感谢大家收听，请帮忙点赞、点小铃铛，参加Discord讨论群，也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。

背景图片

Prompt：Detailed watercolor illustration of a World Economic Forum conference hall, empty chairman stage with three chairs for a roundtable interview, ornate wall panels, subtle metallic trims, neon cyan rim lighting on glossy surfaces, deep navy ambience, high contrast, ink wash textures, cinematic depth, minimal palette, clean negative space for typography –ar 16:9 –stylize 130 –chaos 3 –v 7.0 –no people, faces, attendees –p lh4so59

中国顶尖AI企业的大脑们：承认中国不擅长做从0到1，但擅长做从1到100

中国顶尖AI企业的大脑们，坐在圆桌会议上，终于承认了中国人不擅长做从0到1，但是很擅长做从1到100。

大家好，欢迎收听老范讲故事的YouTube频道。

中国企业超越美国同行的机会不超过20%。中国企业将算力都用在了做交付上、做确定性的事情；美国则是将更多的算力用在做新方向的探索上。中国一旦发现了明确的方向，会快速赶上，会在很多的点上做的比美国更好。

背景：AGI Next 闭门峰会

这些话是在什么时候传出来的？1月10日，有一个会叫AGI next，算是一个闭门峰会。这个会是刚刚上市的智谱他们组织的。因为是闭门会议，所以我们只看到了一些总结归纳，并没有看到完整的视频。前面有一些演讲，最后有一个圆桌会议，四个人在上面进行讨论。前边咱们讲的这个“暴论”，就是在这个圆桌会议里边出来的。

圆桌会议的四位嘉宾

• 唐杰：智谱的创始人。他的发言逻辑中充满了矛盾，这种做ToB项目的人很难逻辑自洽的，所以他的发言后边我们会引用的比较少。
• 杨强：香港科技大学荣休教授，加拿大皇家科学院工程院院士。他站在学术界的角度上，讲的很多东西跟我们日常所熟悉的也是有很大差距的，所以后面引用他的话应该也不多。
• 姚顺雨：腾讯刚刚从OpenAI挖回来这兄弟，他是CEO总裁办公室首席AI科学家，算是前OpenAI研究员。这哥们是一个绝对的聪明人，很多地方都有独到的见解，逻辑很清晰，但是也很圆滑，不太会踩坑。
• 林俊旸：这个字我不查还不认识，左边是一个日，不是木——他是阿里巴巴通义实验室、千问的技术负责人。这哥们是个直男，上面那段话就是他说的。很多大实话别人都绕着说，只有他敢直接说。

主题一：中国不做0到1，而擅长做1到100

访谈分为几个主题，我们先说“中国不做0到1，而擅长做1到100”这一段吧。主持人提了一个问题，先问的是姚顺雨，这个问题是什么？在3-5年以后，全球最领先的AI公司是中国团队的概率有多大？从今天的跟随者变成未来的引领者，需要哪些关键条件？

姚顺雨的观点：乐观与现实

姚顺雨还是比较圆滑的，所以上来先说概率还是很高的呀，我很乐观。然后就开始说实话，毕竟是个技术人员嘛。他说任何一个事情一旦被发现，在中国就能够很快的复现，在很多局部做的更好，比如制造业、电动车都是这么干的。

然后姚顺雨提出了大家都知道的症结：第一个光刻机跟算力的瓶颈是不是可以突破？他说我相信可以突破。另外一个说我们也是有很大优势的，我们的优势在于电力优势，我们电很多，而且很便宜。

中美实验室文化的差异

当然了，主持人也不可能就这么放过他，就接着问他说：中国实验室里边的研究文化跟美国有什么区别？这个姚顺雨继续很油滑的在那抹稀泥，他说美国实验室之间的区别比中美实验室之间的还要大一些。

抹完稀泥以后，接着说大实话。他说在中国，大家还是更喜欢做更安全的事情，只要方向被证明了，再难中国人也愿意赌一把。什么意思？他说你看预训练这事搞明白了，那中国人就要冲上去搞。这个东西不是说别人干明白了，你就直接就可以抄的，还有很多细节、很多的技术难关要冲上去解决。但是只要中国人发现美国人走通这条路了，我们就冲上去孤注一掷，把这个事几个月之内搞定。所有没被验证过的事情，是没有人敢上的。

关于“刷分”现象

他也讲到了现在有一些新的方向，所以这些方向中国人基本上是不干的，都等着美国人去验证。而且他讲说中国人比较喜欢刷分，但是刷分现在已经越来越不重要了。

他举了两个正面案例吧，没有举谁喜欢刷分这种反面典型，毕竟智谱的活动嘛，智谱的老板还在上头坐着，你如果点名字的话，这时候会很难看的。所以他讲了：

• Deepseek：就不太重视刷分这件事，但是大家还是很喜欢使用Deepseek的；
• Anthropic的Claude：其实很多分数并不高，没有它原来所在的OpenAI的分数高，但是大家依然很喜欢用。

所以刷分这个事其实没那么重要了。

主题二：算力差距与“穷人”的创新

后边就是林俊旸这个直男出来了。当然直男也不傻了，理论上在这个场合是不可以泼冷水的，上来先说：“你们想让我说什么我知道，你在这让我说点难听的，这事有问题。”但是直男还是忍不住要说实话。

算力差距：一到两个数量级

他说美国的算力比中国大一到两个数量级。什么叫大一到两个数量级？几十倍到几百倍的这种差距，差非常非常多。说美国大量的算力投入了下一代的研究当中，中国算力本身就捉襟见肘，交付新产品就占用了绝大部分。

什么叫交付新产品？就是我要出新的模型，这个模型是一定要上线、要开发布会的，比如千问3、Deepseek 3.2，或者马上要出的Deepseek 4。这个东西叫交付产品。而美国人说我们可以实验很多东西，这些东西是不会交付的。OpenAI到底有多少模型他们训练完了以后最后没有给大家端上桌？不知道。中国就是我每次只要是消耗了算力，一定要拿出点什么来，咱们讲的投入产出比，所以这个是有很大差异的。

富人创新 vs 穷人优化

然后他在讲，说创新到底是发生在富人手中还是穷人手里？他说穷人也不是说就不能成功，穷人更多的是在做什么？算法基础设施的联合优化。他说这个事富人基本上是不干的。

什么叫算法基础设施的联合优化？咱们去看Deepseek那些论文，就是我怎么用更少的卡、怎么用更少的时间，能够训练出跟你一样的东西来。人富人说我有的是卡，不费这劲，我直接研究我怎么做出最好的东西来就完事了。

所以这个过程有点像什么？有点像中国油漆工在那刷油漆，人家说你必须要刷10遍。他第一次刷了10遍；第二次刷了9遍，说好像看不出来哈；第三次就刷了8遍，或者是就刷了7遍，看看也差不太多；再下一次刷了6遍，然后被人看出来了，这事不行，那下次我就刷7遍。就中国人好多的这种聪明才智都用在这上了。

关于冒险精神

而且他也讲到了，说年轻人的冒险精神越来越强了，而美国人天生有非常强烈的冒险精神，他希望把更多的算力给年轻人。其实这一点我是没有那么同意的。现在的年轻人到底有多少冒险精神？去看看现在考研考公的这个数量，大家就可以自己去想象。但是年轻人里头总还是有一定比例的人愿意去冒险的吧。

为什么上岁数人就不爱冒险了？很简单，爱冒险的人都在家里头录YouTube，都被淘汰了。所以中国整个的职场环境会把爱冒险的人通通都淘汰掉光，剩下温和的守规矩的人留在里边去循规蹈矩，去做这种确定性的事情。所以这是中国的一个很大的问题。

那主持人发现了直男，那不能放过他呀，接着问他说：“你给个数吧，3-5年后世界最领先的公司是个中国公司的概率到底有多大？”

这哥们想了想说：“20%吧。”

20%已经是非常乐观的数据了，我估计这哥们说这话之前也是咬着后槽牙想了半天，还是得对得起自己良心，所以就给了个20%的数据出来。

主题三：模型分化——ToB 与 ToC

除了这个问题之外，他们还在圆桌会谈里头讲了一些其他的东西，比如说模型分化。模型分化就是不是说所有的模型必须要按一个方向去训练，现在他们也发现不同的模型是有不同的用法的。特别是OpenAI跟Anthropic的竞争以后，他们就说没有一个唯一的正确解。那么怎么来分？就是ToB和ToC。

C端模型：垂直整合与超级APP

说如果是C端的模型的话，是可以做垂直整合的。因为很多人在讲模型及应用，或者叫超级APP，实际上都属于C端的东西，比如ChatGPT，比如豆包，都是有巨大的日活，他把所有的功能都整合在一起。而且这样的模型必须是模型跟产品强耦合进行迭代，就是我每一次升级必须要去升级模型的，你说我光把这个APP给你升级了，这玩意没用的，它是这样的一个架构。

而这里头腾讯明显是一个C端公司，而剩下的甭管是阿里也好，还是智谱也好，都属于是B端公司。

B端模型：智能至上

而B端的模型跟C端就不太一样了。因为C端模型你只要是把产品体验做好了就OK了，其实模型本身并不需要那么聪明；而B端模型就是要往上堆能力了，越智能越好。

Anthropic就属于一个典型案例，只管推出更强大的模型就完了，至于B端的应用是由集成商或者是agent开发商他们去搞定。而且这些人会毫不犹豫的去选择最贵、最好的模型与服务。你比如说有20美金一个月的，有200美金一个月的，那些B端的人一定会毫不犹豫的去选择200美金一个月的。

他说原因很简单：比如说20美金一个月的模型，你解决10个问题里头错5个；而200美金一个月的模型，你解决10个问题里头他只错1到2个。把5个错的答案挑出来，这个成本是非常非常高的；或者说你把这个错误答案直接混到结果里头输出了，这个成本是非常高的。你付10倍的钱去订阅是一点都不亏的。

所以Anthropic是不管这个用户到底有什么需求，我是不是把它从头到尾都满足掉，然后进行垂直整合，它不管这些事，它就是一次一次的憋大模型。我只要把新模型推出来，剩下你们就跟着干就完了，你们去做AI agent，你们去做各种的应用，我只管把模型往前推。而且我做多贵的套餐都有人定。这是一个不同的玩法。

主题四：自主学习、Memory与下一个范式

然后讲到了自主学习和memory，以及下一个范式的问题。

自主学习与平滑过渡

自主学习可能是AI发展的下一个方向，或者说到AGI之前，我们必须要解决的一个问题。就是大模型你不能等着人去训练你，你要自己去不断的往前学习。

其实现在的模型跟服务通常也是在不断变强的，服务能力的提升不再像以前那样必须要发新版本了。原来我们在期待说Deepseek V4、Deepseek R2、GROK4、GROK5，Gemini现在有3了是不是要有3.5？原来我们在每天盼这样的大的产品发布。

他说以后不是这样，以后就是很平滑的在往前过渡。你比如说像Claudecode，或者是其他AI agent的产品，或者是一些服务，他每天都在迭代。包括cursor这些编程工具，每天都在升级，每天都在迭代。我们在使用这些产品的过程中提的各种问题，都会快速的成为产品的新特性，让更多的人去受益。说这就是一个自我学习的过程。

Memory（记忆）的重要性

下一个是memory，也就是记忆。大家一致认为记忆是下一个阶段的发展重点。记忆可以通过整合上下文和环境信息提升用户的体验。这是姚顺雨在讲，因为他们是腾讯的，腾讯里头有大家微信聊天的上下文，有你这么多的聊天记录，有你的朋友圈。那他真的没有比微信更懂你的人了，那如果他把这些内容可以有机的整合到他们的模型里去，那微信去跟普通人聊天真的是无往而不利，让你买什么你就买什么。

为什么举这样的一个案例？因为最终还是要变现嘛。只是现在的memory还没有那么聪明，因为给大模型一大堆信息以后，它很难去确定说我在这一次沟通的过程中到底应该用哪些不用哪些。用多了以后这大模型反而会变傻，因为你输入的TOKEN太多了嘛；如果用的少了，或者说你用错了记忆，那这个可能还不如不用。所以现在这一块肯定是未来的一个重要方向。

而且memory还可以带来持续学习的可能性。前面咱们讲的是自主学习，既然自主学习是一个连续的过程，那我们有这么多的记忆，就可以拿着这些东西让大模型也好、让服务也好，可以持续的学习和进步下去。这两块可能都是渐进式发展，并不会有一个跨越式的提升。

谁将引领下一次革命？

AI前面有两次成功的范式转型：一个是聊天，一个是推理。这两次都是由OpenAI来引领的。那主持人就去问姚顺雨，如果自主学习和memory这有可能成为下一个范式的话，下一个重要的这种革命的话，你认为谁会领导这一次革命？

姚顺雨想了半天说：“大概率可能还是OpenAI。”

并没有说拿了腾讯的offer就说这个事一定是腾讯，估计日子也没那么好过。

主题五：出海与通用 Agent

讲完了这一块以后，他们还讲到了出海。这个还是要从ToC还是ToB讲起。这个里边其实逻辑很难自洽。

逻辑的矛盾

为什么？智谱的老大上来讲说这个ToC很有机会，我们很看好ToC，但其实智谱自己是做ToB的。姚顺雨所在的腾讯明明是一个C端大厂，因为他做微信、做QQ、做游戏嘛，但是他也在努力的说我们要去做ToB的东西，要去做AI智能。这到底是为什么？因为你ToC的话就要去跟豆包去竞争去，大家又打不过他。

然后他们讲到了什么？就是我们的经济环境很好。讲完了这句话以后这又很难圆回来。为什么？如果经济环境很好的话，ToB这一端就会有机会，企业的付费意愿就会很强。但是他们的讲法都是这样的：我们的经济环境很好，而且越来越好，但是我们的企业付费意愿很差。基本上都是按这样的一个逻辑在讲的。就是它的逻辑很难自洽。

通用 Agent 与长尾问题

讲完了ToC、ToB以后，大家就接着往前走，说那怎么办？那出海吧。我们都想去做ToB，那咱们就出海。ToB其实就是去做AI agent，大模型已经有了，我们把这agent挂上就完事了。

这里边就提到了一个另外的概念，就是通用agent。其实现在的所谓AI agent有很多种，有些是我们去拼工作流、去做工作流设计，有些是做提示词的堆叠。但是还有一种就是你给它一个任务，它自动的去完成这种通用任务的。在这林俊旸这个直男就讲了，说这个通用agent套壳到底算不算？他讲了这么个话。当然他也知道这话不能乱讲，他就接着往前讲这个事的魅力就在于解决长尾问题。

说真正头部的问题，就是特别有经济价值的问题，因为有足够多的利益来吸引，所以很多人会冲上去解决；而那些长尾问题其实是没有那么多人会冲上去解决的，所以通用agent还是非常非常的价值的一个方向。

房间里的大象

大家也就讲到这儿就完事了。为什么这话题就停在这儿了？房间里的大象，有人零星提起，但是都不敢深入。这房间里大象是谁？你想出海还做通用agent的，不就是manus吗？没法说呀。你把它提出来，那后边怎么弄？你说到底是审查通过、审查不通过，还是一个什么情况？人家拎桶跑路了，跑新加坡去了，上那边洗白去了，最后还没洗白。这玩意你没法讲。

所以为什么说在出海这个话题上大家都显得很别扭，都觉得ToC有机会但是又都想做ToB，又说国内的经济好但是国内ToB的付费意愿又特别差。出海又没法细聊，出海现在跑的最前头这个排头兵被摁那了。所以他们就显得非常非常的矛盾。

老范的总结与观察

最后总结一下吧，一群中国AI的顶尖大脑，他们开了一次闭门会议。

谁没来？

• 字节百度没来：和阿里腾讯不是一头的。
• MINI Max没过来：正在跟智谱这儿别苗头。智谱头一天上市，它可能过了一两天再上市；智谱上去以后跌破发行价，MINI Max直接上来一飞冲天，所以你不能来。
• Deepseek也没来：Deepseek估计在憋大招。现在传闻今年2月份过春节的时候，Deepseek有可能上V4，还是值得期待一下的。
• Kimi：前面演讲的时候他说了，但是后边并没有参加圆桌。

原来有这样一故事，说领导生病了，有些下属过来去看望他。人家就问那领导说：“这么多人都来看你，你能记住谁是谁不？”领导说：“谁来了我记不住，谁没来我能记着。”所以咱们刚才讲了谁没来。

什么没说？

下边咱们讲什么话没说。世界模型、空间模型、VLA这些东西都没提，因为这都不是这几家专长的。其实千问自己还是有一点点VLA的，但是大家都没有提这件事情，这个也都属于是方向没有那么明确，大家不愿意在里边投入。具身智能提了一句，也就仅仅提了一句而已。

大家在谈什么？

大家在谈的是当前国内所关注的方向上，美国人做了哪些尝试。不是说我们自己做了哪些，而是美国人做哪些，我们准备后边去往前推哪一块。比如说刚才咱们讲的自主学习、memory，这都是美国人正在努力往前突破的方向。一旦他们在这些方向突破了以后，国内估计会快速跟进。

最后承认中国人不愿意冒险，做那些确定性很低的事情，呼吁了一下要把更多的卡给90后和00后。这里头不是还有一位学界的吗？说我们也要把更多的卡给学界，不要把这些卡都留在企业手里头。

讨论的结果

他们所讨论的这个结果是什么？中国会在美国指明的方向上奋起直追，确实会在一些领域超过美国，特别是我怎么能够在达到同等效果的情况下更省钱，在这块我们一定会超过美国的。其他的只能尴尬而不失礼貌的微笑了。

最后的感悟

看完访谈以后，老范有什么感受？中国不擅长做0到1的创新并不是人的问题，而是缺乏试错容错的环境。上岁数的人敢冒险的都被淘汰了，所以剩下的人只能去做1-100了。

一群顶尖聪明的AI从业者，在小心翼翼的围绕着难以自洽的逻辑，以及不能说的实话，尽可能的表达自己的想法。看完他们的访谈之后，让我想起了马斯克对AI的要求：不能逼AI说谎，否则会出事的。

好，这期就跟大家讲到这里。感谢大家收听，请帮忙点赞、点小铃铛，参加DISCORD讨论群。也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。

背景图片

Prompt：Ultra-detailed luminous watercolor + crisp ink line architectural poster of a Beijing AI company loft open-plan office interior, realistic industrial materials: exposed fair-face concrete slab ceiling, blackened steel I-beams and columns, galvanized cable trays, linear HVAC ducts, large factory grid windows with sheer roller shades, glass partition meeting rooms with acoustic seals, polished concrete floor with sharp glossy reflections, long reclaimed-wood communal tables with aluminum legs, ergonomic task chairs, cable grommets and tidy power rails, minimal ceiling acoustic baffles, a clean LED strip “data ribbon” along a wall in neon cyan (abstract, no readable UI), bright high-key daylight + warm gold pendant practicals + subtle coral specular hits, deep navy gradient only in distant recesses, neon cyan rimlight on edges, crystal-clear atmospheric glow, cinematic wide interior composition, strong subject separation, huge clean negative space for headline banner, medium-wide eye-level 35mm, rule of thirds –no text, watermark, logo, clutter, extra limbs, lowres –ar 16:9 –stylize 120 –chaos 6 –v 7.0 –p lh4so59

Anthropic抓住中国间谍了吗？

大家好，欢迎收听老范讲故事的YouTube频道。

Anthropic信誓旦旦的公告里边说抓到中国间谍了，但是里面很多细节非常的模糊不清。11月13号，Anthropic发了一个长文，叫《挫败首次披露的AI协助网络间谍活动》，认定幕后是一个中国国家支持的黑客组织，而且他认为幕后是中国国家级支持，是非常高置信度的一个事情。他给这个组织起了一个名字叫GTG1002。但是呢，这个组织的名字并不是现实世界中常用命名黑客组织的APT编号，而是一个叫GTG的一个编号。所以很多安全圈的人就对此提出了一些质疑，说你到底找没找到人。

具体这帮人干了些什么呢？造成了多大危害？只进行了描述，没有细节。当然这也可以理解了，很多这种安全事件都是不会描述细节的，因为描述细节以后容易造成模仿，也会让被伤害的人受到进一步的伤害。告诉你说谁家的信息被偷了，这个可能本身没什么大事的，一下就股价崩了，可能会出现这种事情。所以呢，一般都不会披露特别多的细节。

那么为什么认定这是中国国家支持的黑客组织呢？也许更多的来自于臆测，咱们后边一步一步分析。

Anthropic如何发现问题的？

它是2025年9月中旬就开始发现有问题了，监测发现异常。因为你用Claude去写程序，让它去生成代码，你输入的所有这些提示词，Anthropic是能看到的，输出的也能看到，只是一般情况下他看不过来而已。但是呢，里头有特别多的跟安全相关的事件，请帮我去破解网站，有太多这些东西聚集以后，Anthropic就觉得这事有问题了。9月中旬发现了以后呢，进行了内部调查，把各种日志文件拎出来去查一查，大概用了10天的时间。然后呢，重构攻击链路，看看你到底攻击谁了，攻击的效果怎么样，最终确认这是一场跨越数十个目标的大规模间谍行动。

他们内部到底发现了一些什么样的异常流量呢？大量跟网络安全、网站和系统破解的相关的指令被申请和执行了，而且是相同的手法，面向全球不同的目标再去执行。最终确认，这是一次有计划、有组织、有预谋的大型黑客入侵计划，甚至叫做间谍行为吧。

黑客是如何利用AI工具的？

Anthropic其实有两个特别重要的编程工具，一个呢叫Claude code，它呢是一个AI agent，跑在我们本地的。另外一个呢，就是它的大模型Claude 4.5 sonnet，是进行代码生成和AI生成的一个模型。这一次呢更多的是使用Claude code。Claude code呢可以完全自己执行各种脚本，有人甚至用Claude code去写短句，写各种公众号，这个还是非常非常好用的。Claude code呢可以去编制代码、执行代码、做各种的网络操作，它都是可以自动去搞定的。再配合上Chrome或者是Playright的一些MCP，就可以自动实现大规模的网络漏洞侦测或者是攻击。

黑客呢，搭建了自动的入侵架构，伪装身份，将有害的任务呢，分拆成无害的小任务。比如说扫描某个端口，写个脚本，验证一下密码格式对不对。把它分拆了以后呢，就不会触发Anthropic的一些内部警告。你上来说“给我攻击哪个代码，给我攻击哪个网站”，Anthropic直接就报警了。但是如果你拆开了干这个活呢，Anthropic就会老老实实的去干活去。而且呢，这些黑客还去向Claude去说谎，说我是一家合法安全公司的员工，我在做渗透测试和攻防演练，说我们去攻击一下吧，Claude code也去干活去了。

做这种事情呢，被封号其实是不可避免的。到底这个边界在什么地方，或者封号的阈值在什么地方，是不会有平台出来公布的。所以黑客组织总在边缘尝试，我到底多说了一句就被封了，就被拒绝服务了，还是少说一句，他就接着干活去了。大家要去试这个事。

很多账号被封了之后呢，会有相关性很强的账号启动，继续干活。他也不可能说你封我一账号，我就不干了。相关性这件事呢，是一个很模糊的概念。比如：

• IP地址或Mac地址：每一个网卡、每一个路由器都是有一个唯一的号的。这些地址有可能是比较相近，或者说相同的，就有可能会判定为相关地址。比如刚有一个IP地址了，账号被封了，你用同样的IP地址、同样的网卡，你又注册了一个账号上来，很容易被判定为相关的账号。
• 指令和提示词：你的一些原始的数据指令和提示词是一致的。有人干这件事情被封了，然后呢我换了一个账号上来，接着再提出相应的指令、相应的这些数据，那么它也会被判定为相关。
• 目标一致：有的时候呢，目标网址是一致的。你说这一次我要攻击谁谁谁，下次我还要攻击他。而且上一个账号刚被封掉了，你新的一个账号上来了以后，甚至换了个国家，因为挂梯子嘛，可能上次是美国的一个账号要求攻击日本，下次可能来了欧洲的一个账号，也要求继续攻击日本的某一个网站，那么这个也会被判定为相关的账号。

当然了，黑客组织一定会进行规避，这个活叫账号隔离，这都是有专业术语的。规避以后呢，会提高发现的难度，但是这里头没有0和1的区别，说这个就是错的，那个就是对的。这也就为什么咱们讲Meta达到95%危险评分才被判定为欺诈广告，这个道理是一样的。

Anthropic呢，将通过Claude code发送给Claude sonnet 4.5的指令进行聚合分析以后，锁定了目标。Claude code这个东西是一个免费可以下载的工具，如果我们在Claude code里头挂国内的大模型，Anthropic是收不到任何警告的。但是呢，挂国内的模型效果没有那么好，一定是Claude code挂Claude sonnet 4.5，自己的模型效果是最好的。

Anthropic采取了哪些行动？

Anthropic发现了这样的问题以后，做了什么样的行动呢？

• 封禁账号：这是必然的。
• 通知受害者：通知受影响的30多个机构协助处置，告诉他们被攻击了，检查损失并一同处理。
• 与执法部门协作：与相关部门协作，与执法机关共享情报，直接报警。
• 加强防御措施：Anthropic也表示将加强防御，例如降低危险行为的判定阈值（比如从95分降到90分），使监控系统更加敏感。

黑客到底干了什么？（攻击流程详解）

我相信很多人会很好奇这帮人拿Anthropic的工具到底干了点什么？到底是怎么干的呢？我呢，用尽可能简单的方式给大家描述一下，但是注意不要去学人做坏事。

目标呢是全球30多家机构，主要是大型科技公司、金融机构、化工和制造企业，以及政府机构。有一小部分呢被成功入侵了，少数高价值目标被破解，并且发生了数据泄露。至少4家受害者的敏感数据被证实遭到窃取，但是呢也没有给出具体的名字。这个还是可以理解的吧，你真的指名道姓的说谁谁家数据被偷了，这对于这些受害者来说，绝对是一个二次伤害。

这些攻击呢，80%到90%的战术操作都是Claude code来去自动执行的，人类呢只是在关键的决策点插手。过程是什么样的呢？

第0步：骗过安全机制

先骗过Anthropic的安全机制，保证自己的账号不要被封掉吧，被封掉就没有后边的故事了。

第一步：信息收集与资产识别

要求Claude code枚举目标网站的服务、接口和内部系统，找出高价值的资产、数据库、凭证库以及敏感业务系统。凭证库就是我们存密码的地方。很多网站或服务系统通常是在一些开源系统或者成熟的商业软件上搭建的。这一步首先要知道你到底是用什么系统来搭建的。一旦知道，就能推断出数据库、凭证库和敏感信息的一般存储位置。

第二步：漏洞搜索与利用

确认系统后，命令Claude code去搜索公开和已知的漏洞信息。很多机构的系统上线后疏于维护，不会及时打补丁或升级，导致大量已知漏洞未被修复。黑客可以直接命令Claude code针对特定系统的旧版本，搜索并编写漏洞利用代码，然后组织脚本进行攻击。

第三步：情报分析与文档生成

以前黑客比较头疼的活，现在AI能轻松搞定。黑客会利用Claude code对窃取到的信息进行情报价值分析和分类，比如分析每个文件里写了什么。然后，它会自动整理出攻击文档，内容包括：

• 目标系统及版本。
• 利用的漏洞。
• 成功登录的凭证。

后续的团队或AI agent就可以根据这些文档接着干活了。这个中间交接的文档也是由Claude code去生成的。

第四步：破解后的标准操作

破解之后，那就是老把戏了：

• 拖库：把数据库拖回来。现在可以更有针对性，在分析完文件价值后再选择性地拖取。
• 撞库：将拖回来的登录信息（用户名、密码）尝试在其他系统上登录。因为很多人习惯在不同系统使用相同的账号密码，这可能直接导致黑客获得更多系统的访问权限。
• 提权：登录后，可能只是一个普通用户权限。下一步就是通过其他漏洞将权限提升为管理员。
• 建立后门：为了方便下次再来，在系统中留下后门。

为什么Anthropic认定是中国政府所为？

为什么在证据不是很清晰的情况下，Anthropic咬死了这是中国政府支持的黑客行动呢？而且还给出了“高置信度”这样的定语。Anthropic并没有说明其具体的推理过程，但给出了几个明确的理由：

• 资源充足、专业协调：黑客组织一次性开启大量昂贵的Claude sonnet 4.5高级账号（可能100-200美元/个），封掉一批马上换新的一批。Anthropic认为这种规模和协同运作只有国家级行动才能支持。
• 目标具有情报价值：攻击目标多为大型科技公司、金融机构、化工制造企业和政府机构，偏向于情报搜集而非简单的经济犯罪。而且被攻击的大多是地缘政治中跟中国不太友好的国家。
• 专业的团队交接：攻击流程显示，前期团队攻破系统、整理文档后，会交接给后续团队进行长期潜伏，这不像个人或小团队的行为。
• 战术与已知组织重合：其战术流程（扫描、拖库、撞库、提权、持久化潜伏）与中国的一些APT组织高度重合。并且，攻击中使用的一些云服务IP、注册信息、跳转“肉鸡”等痕迹也与之前发现的中国APT组织重合。
• 活动时间符合东八区作息：行动的高发区在东八区的工作时间段，早上9点活跃，中午休息，下午继续，晚上6点下班，甚至周末双休。
• 代码中出现简体中文：在代码日志中发现了一些简体中文的注释。

至于使用的提示词是中文还是英文，Anthropic没有公开，但大概率是英文，以更好地伪装身份。即便使用英文，Chinglish的比例也可能很高。

作者观点：为什么大概率不是政府行为？

以我个人的感受来说，大概率不是。Anthropic对于中国的灰产行业呢，还是缺乏足够的了解和认识，或者说缺乏足够的敬畏之心吧。

中国灰产行业规模之巨大，从业人员之众多，分工之明细，是海外很多科技企业很难想象的。我为什么判断说，这一次Anthropic发现的攻击行为不像是真正的政府支持的黑客组织干的呢？因为有太多的Claude code痕迹了，不像是专业团队干的活，更像是民间机构新手根据外界公开流传的信息，让Claude code补全操作的。如果是熟手的话，会有大量的现成漏洞、现成的凭证库和现成的代码段，它不会每一件事情都要求Claude code去干的。这次发现的攻击，大量依赖AI重新扫描、重新搜索已知漏洞，这不像成熟团队干的活。

大批的互联网大厂人毕业了，或者叫失业了吧，这些人呢是组织过双11，组织过春运抢票的人，这些人在中国之外的任何地方，都可以算绝对的稀缺人才。但是现在在中国，他们失业了，又不甘心去跑滴滴、跑外卖，可能就重新聚集起来给Anthropic表演一下什么叫中国大厂的专业性。

这次事件带来的思考

网站和系统的安全性必须要提升了。任何人都不需要经过长期的训练，在AI的帮助下都可以做的像国家级黑客组织做出这些活一样。这个就像病毒升级了，大家的免疫系统跟不上一样，这个是非常非常危险的。Anthropic提供的这些AI编码的agent，它可以帮助普通人直接实现很强烈的黑客攻击，原来的这种安全措施完完全全是不够用的。Claude code加上Claude sonnet 4.5确实是干这种活的最优选择，但是使用国内的模型效果稍微差一点，但基本上还是能用的。真正专业的黑客肯定会更加的如虎添翼。

总结

Anthropic发文说破获了中国国家级政府支持的黑客间谍活动。到底是不是中国国家级支持的活动？并没有明确证据，大概率不是，中国新灰产团队的概率更大一些。安全形势在AI agent的帮助下，已经发生了翻天覆地的变化。Anthropic现在发这样的一个文章出来，应该也是在给自己寻找新的商业拓展点，同时出来秀一秀肌肉，表明即使干脏活累活，自家的AI也是最优选择。

好，这就是今天要讲的故事。感谢大家收听，请帮忙点赞、点小铃铛、参加discord讨论群，也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。

大家好，欢迎收听老范讲故事的YouTube频道。

德州华人学者的新发现：大模型也能得“脑腐”

德州的一群从小被妈妈们说“手机看多了会瞎”的华人发了一篇文章。德州农工大学、德州大学奥斯汀分校、普渡大学，这三个学校有8位作者联合发了一篇文章。从名字上看，有一个人是非拼音名字的，看着像个老外，其他所有人的名字，特别是一作和通讯作者的名字，都是拼音的名字，应该是华人。

那这个文章叫什么呢？叫《LLMS can get brain rot》，它的意思呢，叫做大语言模型也能得“脑腐”。就像是咱们新冠疫情以后经常说，脑子上好像总有一层雾，感觉注意力不集中，总是觉得想事情想不清楚，经常忘事情。现在说，大语言模型也可以干这件事。

首先呢，有一个简单的结论，就是给大语言模型喂垃圾数据，大语言模型就像得了脑腐一样变傻了。即使再用好的数据进行修复，中间喂过垃圾数据了，我后边一直喂好数据，可以改善，但是呢，永远无法达到原来的状态。也就是说，喂垃圾数据的这种伤害是永远不可能完全修复的。这是一个很悲观的结论。

实验步骤详解

那具体的实验步骤是什么样的呢？首先，他们选择了四个初始大语言模型作为实验对象：

• LLAMA 3 8B instruct
• 千问2.5 7B instruct
• 千问2.5 0.5B instruct
• 千问34B instruct

这些模型后缀的“instruct”意味着它们是经过预训练和指令微调优化的，更适合接受各种指令，相当于完成了“入职培训”。

然后就是准备垃圾数据了。数据来源于公开的2010年100万条推文，并从两个维度进行筛选：

1. 流量高、内容短：类似喊口号、煽动性强的短句。
2. 语义夸张：类似“咆哮体”，如“再不看就完蛋了！”这类内容。

同时，他们也准备了相应的对照组：一是流量不高但内容长而完整的推文；二是叙述有逻辑、不夸张的推文。

接下来就是训练环节。实验使用了“持续预训练”的方法。通常，大模型训练有四种方式：

• 预训练（Pre-training）：从零开始用海量数据训练模型。
• 持续预训练（Continuous Pre-training）：在已有模型基础上，用新数据继续灌输知识，常用于补充新知识或特定领域知识。
• 指令微调（Instruction-Tuning）：让模型更好地理解和执行人类指令。
• 强化学习（Reinforcement Learning）：通过人类反馈来优化模型。

本次实验将垃圾数据按不同比例（10%到100%）混入正常数据中，对模型进行持续预训练。之后，他们对模型的输出质量、推理能力以及模型人格进行评测。最后，再用好的数据对这些“脑腐”模型进行修复，并再次测试其性能。

实验结论：脑腐的伤害是永久性的

那么，实验的结论是什么呢？就是被污染的模型确实是得了“脑腐”，确实不行了。即使使用好的数据进行持续训练，会有改善，但是呢，损伤是永久性的，不可能恢复到原来的状态了。

“脑腐”大模型的主要表现

“脑腐”并非空谈，它有具体的表现：

• 思维跳跃：模型的思维链（COT）出现不连贯的跳跃，推理过程经常跳到无厘头的地方。
• 能力恶化：模型的理解能力、长上下文处理能力以及安全性都明显恶化。
• 出现反社会性人格：这是最可怕的一点。经过“咆哮体”和短内容的洗礼后，模型表现出明显的自恋和精神病倾向，非常危险。

对人类的警示：短内容消费的危害

但是人呢，好像也是这样。这个研究也侧面佐证了一些观察：长期消费短、平、快且高情绪化内容的孩子，确实会表现出逻辑能力下降和反社会性人格等问题。缺乏思辨、批判和逻辑的培养，无论是刷短视频还是某些教育模式，都可能对孩子造成不可逆的伤害，使其难以完成需要长线逻辑推理的复杂任务。

另一个惊人实验：大模型可以被“催眠”

最近，Anthropic公司发表了另一篇有趣的论文，证明大模型可以被“催眠”。他们通过在250篇文章中精准植入一个隐藏指令（一个以“Sudo”开头的乱码），来对模型进行“投毒”。

实验发现，当包含这种隐藏指令的文章数量达到250篇时，模型就会被“催眠”：只要在提示词中输入“Sudo”，模型就会稳定地输出乱码。这250篇文章的数据量，仅占大模型总训练数据的约0.00016%，一个极小的比例就能实现稳定的“催眠”效果。

两大实验带来的思考

对大模型训练的启示：严控数据源

这两个实验告诉我们，必须严格把控大模型的训练数据，包括持续训练的数据，否则后果不堪设想。未来，大模型的训练数据可能需要像食品一样，提供一份详细的“输入信息配料表”。所有输入信息都必须经过（很可能是由AI驱动的）安全模型审核，因为靠人工审核海量数据是不现实的。这在自动驾驶等高风险领域尤为重要。

对教育的启示：多思辨，少刷短视频

在教育方面，我们也得到了一些启示：

• 少一些高情绪化的短内容消费，这对孩子至关重要。
• 少一些简单化、口号化的内容，多进行长内容的持续学习，如阅读和观看完整的电影。
• 加强孩子的思辨、批判和逻辑能力培养。

所以要听妈妈们的话。

反向思考：如何利用“脑腐”和“催眠”？

当然，我们也可以从另一个角度思考。如果想获取流量，短的、情绪化的内容无疑是有效的，因为“得屌丝者得天下”。

此外，为大模型做GEO（生成结果优化）也变得可行。要让大模型在回答时偏向你，可以采取以下策略：

• 在权威媒体上多发表文章：大模型更信任来自Reddit、大型新闻网站等的数据。将内容发布在这些平台，更容易被模型采纳。
• 统一特定事物的表述：在所有文章中坚持使用同一个词来描述同一件事。当这个词重复几百次后，就能在模型中形成类似“挖掘机技术哪家强？”的条件反射。

这种重复策略对人有效，对大模型同样有效，且成本更低。

总结与展望

最后总结一下吧。以后妈妈们禁止小朋友们刷手机，也算是有科学依据了。

更重要的是，大模型的质量代表着未来科技发展的速度和高度。如果数据源质量不高（如国内很多模型是“蒸馏”自国外模型的数据），就只能在应用层面内卷，难以在基础科学领域取得突破。

未来，在使用大模型，特别是开源大模型时，我们必须要求查看它的数据“配料表”。这可能是实现可信人工智能发展的关键一步。

好，故事就跟大家讲到这里，感谢大家收听。请帮忙点赞、点小铃铛、参加DISCORD讨论群，也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。

Anthropic Claude出了新工具，叫skills技能。这是不是MCP的升级版本呢？

大家好，欢迎收听老范讲故事的YouTube频道，咱们又有新玩具了。这一次，Anthropic出了一个东西，叫skills技能。它呢，应该是大模型功能拓展标准的一个新尝试。

大模型除了可以一本正经地胡说八道之外呢，你还需要去做一些技能拓展。比如说，你可以去写PPT，可以去做Excel，skills就主要干这玩意儿使的。这也算是AI agent以及上下文工程有可能会迎来的一个新标准，甚至呢，在部分功能上已经取代了MCP的功能。待会儿咱们再讲哪一部分可以取代MCP了。

到底什么是skills呢？它呢，是直接给Claude去赋能，让Claude code去做一些琐碎的工作。我举一个例子吧，比如说一个律所，你律所里头需要干一个什么事？就是你们出的所有的这个文件，它是有排版要求的。哪个地方用几号字，哪个地方用几号字，什么地方要用什么样的方式来表述，这个都是有要求的。以前我们律师给写的文件，大概每一个文章倒数第二段的时候，要写一个“以及”还是什么，反正有一个特别奇怪的要求。我第一次看到，我说：“你们为什么写这个？”他说：“律所要求就是必须这么写。”包括哪个标题需要使用什么字号、什么字体、字间距、行间距，他们都有要求。

这个东西你要让大模型去干活呢，就很费劲，特别是大模型每一次干出来不一样。那现在就是你，可以通过skills直接给它赋能，说我们以后按照这个律所什么什么要求去做，甚至是哪个版本的要求，去处理这些文件，最后处理出来的格式跟你的要求是一致的。

这东西呢，配置起来要比MCP省事。MCP配置还挺麻烦的，你需要在本地起服务器，或者就算是远程服务器，你也需要在本地去进行MCP服务的配置。这个配置的过程，可能普通非程序员不是说完全处理不了，但是还是比较费劲的。但是skills就省事多了，直接写个Markdown文件扔里头，完事。你就是建个目录，写一个skills.MD的一个文件，告诉它说，我什么样的字需要使用什么字号，或者说我这个信的结尾要加“此致敬礼”什么，你可以写一大堆这样的要求进去。写完了以后呢，直接在执行的时候告诉它说：“这是我的技能文件，请照着这个干活。”它就去照着执行去了。

而且skills呢，是可以在全客户端执行的。它可以在API上跑，也可以在Web端、手机端客户端，都是可以跑的。甚至呢，还可以在Claude code里头去跑，这个都没问题。如果你是在Claude code这样的本地的AI agent里头跑的话，它可以基本上覆盖MCP的功能。为什么？待会儿咱们细讲。在其他端这个还不太行，它是有一定限制的，至少目前还有吧。

现在呢，普通人都可以用这个skills工具。它主要是用两个格式的文件往里写东西：一个是Markdown。Markdown其实你基本上认为它是个纯文本就完了，只是呢，里头有一点点的简单的这种格式标记，写一个井号后边是大标题，两个井号是中标题，三个井号是小标题，它就是有一些这样的标记在里头，其他的也没有跟普通文本差异的地方。你用任何的纯文本编辑器都可以打开它，只是呢，没有渲染的效果而已。另外一个呢，叫YAML。YAML呢，实际上也是一种纯文本的配置文件，它呢，特点就是缩进，就是你通过缩进的方式来去写配置。现在大家看到很多的项目里头，都有这种文件，前面基本上是一个属性，打个冒号，后边是要赋的一个值。现在很多配置文件都是拿这玩意儿写的。

当然了，skills你要想处理一些更复杂的东西呢，它也允许你加代码进去，但是代码执行呢会比较受限制。因为这个skills是在哪跑的呢？它是在一个虚拟机里跑的，是在Anthropic本地的一个虚拟机里边去跑。这个虚拟机是不能联网的，也不能去调用很多的这种库文件进来，所以它的功能比较受限。

只有是在Claude code，就是在我们本地跑的时候，它可以联网。所以呢，你在本地跑的时候，它不是在虚拟机里头，你就可以基本上取代MCP的功能了。甚至你在skills里头直接写说，我要调一个什么API，这个API的调用方法是什么，返回值是什么，就是我们把很多那个API的文档文件直接贴在那个Markdown文件里就完事了，它就直接干活去了。所以只有在Claude code里头才可以替代MCP，如果不是在Claude code里头，它是不允许联网的。它的格式刚才我们讲了，就是一个叫skills.MD的一个文件放在一个目录里，或者再加一些其他的这种配置文件就完事了，极个别的情况需要加代码。

现在呢，Anthropic官方呢，也给出了一些skills，比如说一些Excel、Word、PDF、PPT这样的处理方式。我本来想去充一个Anthropic的会员，20美金充一个会员，后来翻了翻，发现这东西就完完全全的不支持中文，连繁体中文都不支持，最后算了，就不跟它费劲了。我相信skills应该很快就会普及出来，就像MCP一样，不是只有Anthropic自己可以用。

那skill适合做什么呢？最适合做文件处理、格式处理。如果在Claude code里头，基本上是全能的。技能和标准的固化和重用，这是它主要干的活。这个什么意思？比如说有一个人说：“我就擅长整理律所的文件格式。”这个东西呢，叫一个技能。你要再找一个人来说：“你给我把这个律所的文件都处理成我们要求的格式呢？”他需要重新学习。现在呢，等于是我们把这个东西固化下来了，说这个skills就叫“律所文件格式处理”，把它固定下来了。固定下来以后呢，就直接可以反复地重用了。我下一次需要去处理文件的时候，直接告诉Anthropic我的skills叫这个名字，去干活去吧，它就去干活去了。

Anthropic为什么总能拿出这种推动行业的新标准来呢？这样的一个功能，现在大家都在讨论的核心原因，就是大家觉得这可能是未来的标准。最早它推出的MCP标准虽然不完美，因为它调用的时候必须要起个服务器，这个事还是很讨厌的，但是呢，现在已经是标准了。谷歌、OpenAI都已经跟进了，国内的各大模型厂商、各大AI agent和工具厂商也都跟进了MCP了。原因很简单，就是它会秉承着叫“简单、开放、中立”这样的一个原则，这才是真正的关键。你把这事搞得很复杂，各种方方面面我都想到了，或者说我只能在自己的平台上使，我又不开放，或者说我虽然是中立的，但是呢，我们中间的这些代码是不给别人看的，其他的人你是不知道我怎么去调用这个功能的，这些都很难成为标准。你必须要简单、开放、中立。除了大模型的处理能力这些，MCP也好，skills也好，它基本上不依赖其他技术，这个也是非常非常重要的。你说我现在做了一个新的标准出来，我需要依赖很多很多东西，这个就很麻烦。像MCP呢，还是需要依赖一些外部服务，需要依赖一些这样的技术，但是skills就更简单，什么也不依赖，你直接拿出来就可以用的东西。

大模型能力拓展的尝试呢，其实一直在持续。从ChatGPT 3.5开始，GPT进入到公众视野以后，大家一直在尝试这东西到底能干嘛，除了一本正经地胡说八道之外还能干点什么。现在每天大模型的能力在上升，我又训练出GPT-5了，又训练出GPT-6了，但是还有一些东西呢，是它搞不定的。第一个是角色的固化，或者说技能的固化与重用，这个事情呢，是大模型自己搞不定的，因为大模型都是按照通用的模式来去训练的。另外一个就是要调用外部工具，我不可能自己把所有外部工具都跑通，它真跑通了就吓人了，有可能这个人类就没有存在的必要了。它还是有一定的能力边界的，这一块呢，就是在不断地拓展。

很多人可能会记得，咱们经常在写提示词的时候，第一句话干嘛？第一句话赋能，说“你是一个编辑”，“你是一个律所的文档格式大师”。我们经常会写这样的话在第一句。那你说这个真的会让ChatGPT也好，Anthropic Claude也好，像律所里边的文档编辑大师一样工作吗？是不能的。为什么呢？因为每个律所的文档格式要求是不一样的，它也不知道你要用什么方式去干活。所以你去写提示词的时候，对大模型进行角色赋值，说“你是什么什么”的时候，到底起什么作用？告诉大家，不会提升答案的质量，他原来该答什么还是答什么，但是呢，会让大模型将结果模仿成指定角色的方式说出来。他会去想说，这样的这个角色是怎么说话的，我先生成结果，然后模仿这个人的方式再重新说一遍。这个就是我们每一次去指定说“你是谁谁谁”的时候得到的一个结果。这肯定不是我们所希望的嘛，我们还是希望它真的具有相应的能力。

现在我们就要去做固定技能以及能力拓展，咱们做了很多尝试。前面OpenAI做的一个东西叫GPTS，这个东西呢，推出来的时候我就说这玩意没戏，现在呢，基本上已经没有什么人去玩耍了。GPTS主要干的活，实际上就是一个固定技能，当然它还有很多其他的功能，那个调用处理起来就非常非常麻烦了，你需要在里头写程序的。而且GPTS还有一个问题是什么呢？就是它必须在ChatGPT里头跑，它不能出来，这个是很麻烦的。刚才我们讲了，你要想确立标准的话，必须得中立，它的中立性就没有了。而且这个东西做起来其实没有那么容易，GPTS刚出来的时候我也做过一些，效果呢，差强人意，不一定每一次按照你的要求去做，因为当时模型的能力也没有那么强。折腾了半天GPTS以后，发现不是我想要的东西，所以现在呢，基本上玩的人很少了。

第二个就是function call，就是直接让大模型去通过代码干活。这块呢，甭管是国内的模型，还是国外的这种主流模型，都是支持function call。OpenAI、Anthropic的Claude，还有Grok、Gemini，都是支持function call。但是呢，这个东西比较麻烦，在哪呢？你必须写程序，你不写程序这事搞不定。只能在API里头使，你说我在客户端用，我在Web端用，这事你是没有办法拿它干活的。所以这东西呢，对于非程序员来说，基本上相当于没有。这就是function call的一个情况。

再往后呢，就是MCP了。MCP呢，比function call要简单一些，不再需要那么高的程序能力了。我可以说直接把一个MCP的配置文件写到比如Cursor，或者写到一些其他的这种支持MCP的客户端里去，他就可以去干活了。这个对于很多这种非程序员来说呢，就已经比较友好了。现在呢，你要去调MCP，可以写程序，也可以直接在支持它的客户端里配置就可以用。现在呢，有很大一部分的服务平台都将自己的服务包装成了MCP。你比如说支付宝、微信支付、高德地图、百度地图、大众点评，都开始出MCP了。这一块呢，就是只要上大模型，你挂上这些MCP以后，就可以实现相应的一些功能了。MCP主要干的活是什么呢？就是能力拓展，它并没有说把一些能力固化下来。你说我告诉大模型我有MCP了，那不能保证你每一次输出的结果都是你想要的，但是呢，它可以保证说大模型可以去调用百度地图了，知道这周围有什么好吃的，这个他可以去干了。

现在呢，skills来了。skills呢，和MCP比起来，对于非程序员就更加友好。原来MCP你要去做配置的话，还需要去写JSON，JSON还算是一种程序员使用的配置语言，而现在的话直接Markdown了，你就直接用自然语言去写就完了。JSON的话你要是把它写错了，大模型拿它也没办法，但是Markdown的话，你写错了以后，比如我写了几个错别字在里头，或者哪个地方我写点病句在里头，大模型就直接处理掉了。所以这一块容错率还是比较高的。它呢，可以很好地将技能固化下来，让你再去重用，也可以去拓展一些外部功能。但是拓展外部功能就只能是在Claude code里头用。我相信未来可能会有更多的客户端去支持skills，只要是有客户端支持的skills，就可以去允许你拓展外部功能，可以去联网。否则的话，你跑到Anthropic的自己的服务器上开虚拟机的话，它就不会让你干这个活。现在呢，在网页、API都可以去跑，但是网页、API包括手机端、PC端的这些客户端里头，它都是调用的Anthropic自己的虚拟机，不允许联网。如果你是在本地跑，它是允许你去联网的。

那你说未来大家会不会跟进呢？一个新技术，你不能说上来我就要做标准，这事是不对的。一个新技术出来了以后，一定是什么呢？一定是自己先用起来，大家喜欢了以后，逐渐去遵循你为标准。而且你前提还得是开放，你如果不开放的话，别人想去遵循你为标准也没有这个能力。我觉得呢，大概率skills会成为下一个标准，继MCP之后的下一个标准。为什么呢？就是skills的技术是完全中立的一个技术，因为你写进去的就是一堆Markdown，其他的没有什么，就算写一些Python代码，或者是一些TypeScript，或者是其他的这种代码进去，它要求的也都比较简单，不会要求写特别复杂的代码，因为它是在一个没有网络、也不可以调用外部代码库的一个虚拟机里去执行的，所以这个代码也不会太复杂。所以第一个，完全中立。第二个呢，就是它直接开放的，Markdown文件拿出来看就完了，我到底是一个什么样排版的文件，我直接看就可以了。

WPS里头有非常非常多的模板库，班级的点名表，或者是各种的报告，它都有模板库。以后这些东西通通都可以写成skills，我们就直接调用的时候，就可以产生出符合各个单位里头要求的格式化文档，这个还是很棒的。甚至呢，可以进行一些逻辑上的检查，比如说所有的股权算完cap table以后，加起来必须是100%，你这些东西通通都可以在skills里去干。现在大量的skills文件呢，已经开源了，都在GitHub上，大家可以自己去找去，直接下载下来就可以用。而且支持skills这件事呢，本身对于大模型也没有什么新的要求，完完全全是可以在这种客户端上就跑。你比如说Cursor或者是VS Code，这些东西就直接可以去支持了，并不需要模型做任何的修改，也不需要在模型API上做特别多的调整。所以这个东西成为标准的门槛是比较低的。

skills对模型唯一的要求是什么？就是你模型的上下文要进一步的提升，要有更好的指令依存度。我要求你干什么，你必须老老实实给我干去，这就是skills对模型的要求。现在Anthropic Claude对于skills的这种要求，特别是现在的4.5的版本，基本上是可以满足的。Gemini 2.5相信应该也没有任何问题，甚至马上要出Gemini 3，可能这个礼拜就要出Gemini 3，做这些事情应该也都是OK的。GPT-5处理skills这样的一些小问题，应该也没有任何毛病。国内的话，豆包、DeepSeek和千问应该也都可以完成相应的这种改造，就是你模型不用动，直接在这个客户端上处理一下就可以了。

未来的话，可能就是我们只要告诉大模型说，我有哪些function就是哪些功能，哪些MCP，比如说我可以调用百度地图、高德地图，然后呢，我们再告诉他，我还有哪些skills，哪些技能，我想干什么，然后它就给你干去了。我举一个例子吧，我们现在有MCP是高德地图的，有一个skills叫做“Excel格式整理和数据校验”，然后我们就可以告诉它什么呢？我现在想知道某一个地区周围有哪些日料店，他们都是一个什么样的情况，按照这个打星的情况去排序，还是按照价格排序，还是按照一个什么样的方式排序，然后呢，请给我去进行什么样的格式。把这个命令整个交给这个大模型以后，它就会自动地去调用MCP得到某一个地区附近的日料店，然后把里头所有数据都拎出来，再按照我们的要求调用skills，把这些东西通通都塞到Excel里头去进行校验、进行排序、进行这种格式的梳理，然后生成一个我们所要的这种Excel文件出来。它就是这么干活的。

跟这种标准，国内的这些公司应该会跑得很快的。国内一大堆抄袭Claude code的这种工具，像现在阿里、字节、腾讯都开始出这种客户端上直接进行命令行输入的、类似于Claude code的工具了，他们想去支持skills还是非常容易的。国内的这些AI IDE应该也会第一批跟上。云厂商跟进应该会更快一些，因为刚才我们讲了，skills执行的一个原理是开一台虚拟机，处理完了以后把它关上，这个对于所有的云服务厂商来说，“这个我们熟”，他们会更快的跟上。而国内最大的云厂商是谁？阿里。千问未来去支持skills应该是顺理成章的，国内MCP最早支持的应该也是阿里。

总结一下吧，你想去建立一个新的AI标准，你必须按照“简单、开放、中立”这个标准去，而且除了大模型能力之外，你其他的都不能要求。这个就是MCP成功的原因，也是skills我认为未来有可能会成功的一个底层逻辑。Anthropic呢，可以不断地确立新的行业标准，就是遵守了简单、开放、中立这样的一些基础。当然优点呢，是标准性；缺点是什么呢？就是不能吃独食。很多国内的这些厂商说，我也要去建立标准，建立了半天，他老惦记吃独食，这事你肯定就做不起来。现在AI领域里头是什么？就是一帮巨头，甭管美国的OpenAI、Anthropic、谷歌、Grok，这些都是巨头，非常非常值钱的公司。国内的字节、阿里，这都是巨头，可能DeepSeek稍微小一点点。在这个时候，没有谁说我确立一个标准，你必须在我这跑，其他人都不兼容，这事是跑不起来的。OpenAI就老惦记干这种活，吃个独食，把自己的私货加进去，但是效果非常的不好，所以他建立的各种标准一般是没有人用的，都是Anthropic在建立标准，大家去使用。

好，这就是今天要给大家讲的故事。感谢大家收听，请帮忙点赞、点小铃铛、参加Discord讨论群，也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。